Geregeld worden we geconfronteerd met inbraak op sites van klanten. Steeds was er sprake van lekken in Joomla, dat is een z.g. Content Management Systeem.

Het is Open Source, dat wil zeggen, dat iedereen gebruik kan maken van de programma’s. Echter is het ook zo, dat eventuele fouten door hackers makkelijk kunnen worden opgespoord. Er worden vervolgens programma’s ontwikkeld, om de aanvallen te automatiseren. Potentiële sites worden automatisch opgespoord en vervolgens wordt de site gewijzigd.

De wijzigingen hebben tot gevolg dat bezoekers worden doorgeschakeld naar een site, die probeert om kwaadaardige programma’s te installeren op de computer van de nietsvermoedende bezoeker van de geïnfecteerde site.

We hebben niet nader onderzocht wat er wordt geïnstalleerd, maar we vermoeden dat het gaat om programma’s voor z.g. botnets. Deze netwerken verzenden spam en veroorzaken allerlei andere narigheid.

Twee varianten
Er zijn ons twee varianten bekend. Een ervan wijzigt configuratiebestanden met een instructie, die begint met:

 eval(base64_decode("

Er volgt een reeks tekens, die na decodering een leesbare instructie bevat, die zorgt voor de verwijzing naar de “foute” site.

In de gevonden gevallen waren de z.g. permissies van de configuratiebestanden niet goed ingesteld na de installatie.

De tweede variant betrof het aanbrengen van .htaccess bestanden met een z.g. redirect instructie. Foutief ingestelde permissies laten de hacker deze bestanden ongestraft plaatsen.

Oplossingen
In elk geval is een update van Joomla noodzakelijk en moeten de permissies van bestanden en mappen goed worden ingesteld. Ook is het belangrijk om te speuren naar verdachte componenten. Vooral onderdelen, die gebruik maken van formulieren, zijn kwetsbaar, als de invoer van de formulieren niet of onvoldoende wordt gecontroleerd.

Wijzig wachtwoorden
Omdat niet valt uit te sluiten, dat hackers wachtwoorden achterhalen, is het aan te bevelen uw wachtwoord te wijzigen. Eventueel kunt u ons vragen dat voor u te doen.