Roland Kamphuis Rotating Header Image

Posts Tagged ‘joomla’

Joomla hackers

De laatste tijd maak ik vaak mee dat Joomla sites gehacked worden van klanten. Het zijn meestal oude Joomla installaties die al maanden/jaren niet meer geupdate zijn. De hackers hebben blijkbaar ergens een injectie ontdekt om op die manier bestanden in de /tmp map te plaatsen. Deze map moet chmod 777 hebben bij installatie van joomla, dus is het aardig eenvoudig voor de hacker om daar bestanden in te plaatsen.
Ten tweede plaatsen ze dus vaak een dos scriptje, en gaan ze vervolgens met het scriptje aan de slag om andere servers/sites te dossen. De server gooit zijn complete uplink helemaal vol met verkeer richting het ip die de aanval moet ontvangen. Ik heb meegemaakt dat er meerdere servers opeens een volledige gbit gingen trekken en daarmee sommige uplink providers van ons overbelasten wat als resultaat onze eigen bereikbaarheid van het netwerk ook aantasten.

Gelukkig hebben we goede monitoring en kon ik snel ingrijpen door ten eerste de servers terug te zetten naar 100mbit, en daarna de server te onderzoeken. Bij een van de gevallen kwam ik een leuke case tegen. z
Ik zie een hacker zijn php hackscript aanroepen met “b11770.php?action=udp&host=xx.xx.xx.xx”, heb ik snel het script aangepast en $_GET[‘host’] = $_SERVER[‘REMOTE_ADDR’]; bovenaan toegevoegd. Toen was het wachten tot hij het script opnieuw aanriep, want met die regel zou de hacker dus niet meer zijn xx.xx.xx.xx ip aanvallen, maar gaat de aanval opeens naar het ip van de hacker zelfs. En voilla, na 2 minuten riep de hacker zijn script aan en ging er een flinke attack richting zijn eigen ip. Wonderbaarlijk riep hij het script nog 3 keer aan voordat hij erachter kwam dat zijn eigen script een aanval op hemzelf lanceerden en staakte eindelijk zijn acties… (waarschijnlijk opzoek naar een nieuwe niet-geupdate joomla site).

php_dos