Nach einiger Recherche und Beratung möchten wir mitteilen, wie wir hinsichtlich des Problems mit Hackangriffen weiter verfahren wollen:
- Wir bitten hiermit alle User, die eine Version von Joomla! benutzen, zu überprüfen, welcher Editor verwendet wird. Wenn es der Editor JCE ist, stellen Sie bitte dringend fest, welche Version dieser hat. Dies ist möglich, indem Sie sich als Administrator anmelden und die Komponente unter „Extensions“ > „Install/Uninstall“ > „Components“ überprüfen. Dort finden Sie gegebenenfalls einen Eintrag „JCE“ und in der entsprechenden Spalte die Versionsnummer. Diese sollte größer als 2.1.1 sein.
- Wenn die Versionsnummer von JCE kleiner oder gleich 2.1.1 ist, müssen Sie diesen Editor updaten. Entfernen Sie ihn durch die Uninstall-Option (Markieren und oben rechts auf „Uninstall“ klicken).
- Nun sollten Sie sich den neuen JCE installieren. Laden Sie unter http://www.joomlacontenteditor.net/downloads/editordie neue Version herunter und installieren Sie die Komponente wie gewohnt in Joomla!
Wir werden die Websites auf die vulnerable Komponente (durch das Update von JCE können Sie vermeiden, dass weitere Eingriffe nötig sind) hin scannen und den Zugriff auf die angegriffenen Komponenten blockieren. Wir machen das so minimalinvasiv wie möglich, so dass die Website für normale User sichtbar bleibt. Als Administrator können Sie sich anmelden und den Editor auch später noch austauschen. Das sollte die Hackangriffe und Übernahmen verhindern.
Es bleibt festzustellen, dass die veraltete Version Joomla 1.5.26 in den Kernkomponenten nach unserem jetzigen Kenntnisstand keine bekannten Sicherheitslücken aufweist , die durch entsprechende Hackingangriffe ausgenutzt werden können und auch von der Joomla! Community als sicher bezeichnet wird. Daher beziehen sich unsere Maßnahmen auf veraltete und als unsicher bekannte JCE -Komponenten, die ausgetauscht oder deaktiviert werden müssen. Es wird keine Sperrung der kompletten Websites geben.
Dennoch bleibt die dringende Empfehlung bestehen – die so auch von der Joomla! Community als offizielle Empfehlung gilt -, Joomla 1.5 – Installationen baldmöglichst auf eine Version ab 2.5 zu bringen.
Wir bedanken uns bei Mambo e.V. , der uns in der Vorgehensweise und Identifizierung der Angriffsmuster geholfen hat.
Wenn Sie noch Fragen haben, posten Sie diese hier oder wenden Sie sich an den goneo Support.
danke, das erleichtert vieles!
DANKE
für diese Problemlösung!
Alles andere wäre eine Katastrophe gewesen.
DANKE an allen die zu dieser Lösung beigetragen haben und geholfen haben das Problem zu verifizieren.
na geht doch… Prima, den anzen wust hätte man sich auch Sparen können, also, danke und aucch dir David *5 @Mambo e.V. *zwinker*
LG Achim
@Cybergurk : Vielleicht wäre dies auch eine Anregung an die Joomla Communities, die Notwendigkeiten von Upgrades mit in die Produktentwicklung einfließen zu lassen und insbesondere im Templatebereich mehr Support zu geben, wie die Templates für die neuen Versionen aussehen müssen bzw. wie man „alte“ Templates auch in neuen Versionen noch verwenden kann.
Viele freiberufliche Webdesigner nutzen Joomla weil man damit in kurzer Zeit eine typische Endkundenwebsite mit so ca. 20 Seiten generieren kann, viele Module zur optischen Gestaltung nutzen kann und dem Endkunden auch das Ändern von Inhalten (Öffnungszeiten, Produktbeschreibung etc.) überlassen kann. Dahinter liegen keine Pflegeverträge. Wenn ein Update ansteht, schiebt man das auf die lange Bank (der Endkunde ja auch, weil nicht eingesehen wird, dass man „nur für ein Update“ wieder 500 bis 1000 Euro ausgeben soll).
Es wäre vielleicht zu überlegen, ob man nicht in den Joomla Backendbereich einen RSS Feed einbaut, über den Warnmeldungen und Updateinformationen eingespielt werden.
Es wäre alles gut wenn ich nicht gestern einen Tag Urlaub genommen hätte um die Seite meiner Freiwilligen Feuerwehr auf 2.5 zu aktualisieren.
Tolle Aktion goneo, nach 6 Jahren bei euch ist mein Vertrauen in euch bei 0.
@Martin : Dieses Upgrading war ganz sicher nicht umsonst: Auch wenn die meisten Angriffsversuche sich auf eine Komponenten beziehen und die Kernkomponenten für sicher gehalten werden: J! 1.5. ist nicht mehr aktuell, wird nicht mehr entwickelt und nicht mehr supportet. Auch die J! Communities empfehlen Upgrades.
Danke für die Anleitung und den Hinweis.
Bei mir ist nun alles auf dem aktuellen Stand.
Wie kann ich meine Homepage wieder freischalten?
Zu Zeit bekomme ich für die Hauptseite noch eine weiße Seite angezeigt.
Viellicht sollte man noch dazu sagen, dass die Leute mal unter /images/stories/story.php schauen sollen, ob eine solche Datei existiert.
Bei mir war es leider der Fall.
Ich habe diese darauf hin gelöscht.
@Carsten. Das ist ein guter Hinweis. Wir wissen aber nicht, ob die Datei immer story.php heißt.
@carstem
Die weiße Seite ist ein deutlicher Hinweis darauf, dass die Seite bereits gehackt wurde. Bitte rufen Sie ggfs den Support an.
Na toll gemacht Goneo. Danke für die Problemlösung. Aber wäre es eventuell nicht angebracht gewesen eine eMail an die Kunden zu schreiben?
Panikmache (Betreff: Joomla 1.5 Seiten werden ab Freitag gesperrt) wird per Mail angekündigt, die Aufhebung der Abschaltmaßnahme steht lediglich im Blog. Ich frage mich, warum ich letztendlich meine Seite hektisch upgedated habe (und vieleviele Stunden Arbeit warten da noch auf mich), wenn ich alle in Ruhe angehen hätte können. Ein Mail des Providers (Betreff: War ja alles nur Spaß!) hätte vielen einiges an Stress erspart.
Betreffende Kunden erhalten eine E-Mail mit entsprechenden Hinweisen. Die Sites werden nun kontinuierlich gescannt, ob bekannt, verletzbare Komponenten auf dem Account sind.
Die Migration auf 2.5 war ganz sicher nicht überflüssig. Auch wenn die Kernkomponenten von J! 1.5.26 für sicher gehalten werden, empfiehlt auch die Joomla! Community ein upgrade auf 2.5, denn der Support für 1.5 ist ausgelaufen.
@goneo:
Es wäre vielleicht zu überlegen, ob man nicht in den Joomla Backendbereich einen RSS Feed einbaut, über den Warnmeldungen und Updateinformationen eingespielt werden.
Ich arbeite gerade an einem eMail-Dienst, der die bekannten Quellen für Joomla-Cores und Erweiterungen überwacht und bei neuen Versionen eine eMail verschickt. Für mich selbst läuft das schon seit knapp 2 Jahre sehr angenehm. Für die Allgemeinheit muss ich da aber etwas mehr tun.
Vielleicht wollt Ihr Euch dann ja mit etwas Werbung dafür und einem DB-/Webspace-Sponsoring daran beteiligen 😉
Hallo goneo,
eure Antwort empfinde ich als echte Frechheit. Ich habe nicht bewertet ob ein Update sinnvoll ist/war oder nicht. Vielleicht lest ihr erstmal was die Leute schreiben bevor ihr einen pauschalen Textbaustein verwendet.
Super-Aktion goneo!!! :-((
2 Tage mit Kundschaft aufklären, -bitten, -betteln und -besänftigen verdödelt. Dazu alternative Hoster-Suche usw.
Beide Daumen nach unten!!!
@Maik: Wir haben nach wie vor das Problem, dass Websites von Kunden gehackt werden, Websites in der Servernachbarschaft dadurch schlecht erreichbar sind und unsere Infrastruktur für Cyber-Angriffe verwendet wird. Dem zu entgegnen ist unsere Verantwortung. Wir haben Joomla 1.5 Installationen als die betroffenen Sites ausfindig gemacht. Sie müssen uns schon zugestehen, dass wir in solche Fällen reagieren müssen.
Eine Joomla 1.5 Installation muss trotz unseres geänderten Verfahrens dennoch auf eine 2.5 Version geupdated werden. Das empfehlen auch die Joomla! Communities. Sie sollten nicht mit 1.5 weiterfahren. Dies ist nicht nur ein Problem für das Hosting, sondern ein Problem für Ihre Kunden: Was ist, wenn eines Morgens der Firmenbesitzer politische Propaganda oder Terroraufrufe auf seiner Seite sieht oder einen Brief der Staatsanwaltschaft aufreißt, in dem ihm die Anklage wegen Verbreitung jugendgefährdender Schriften angekündigt wird? Dies ist nicht konstruiert. Dies passiert. Warum glauben eigentlich alle, man wäre als Webseitenbetreiber nicht betroffen? Hier klingeln die Telefone deswegen jeden Tag.
Apropos: Die Abschalt-Horror-Meldung wurde so fix versendet, wo bleibt denn die Entwarnungs-Mail ?!?!?
Das kann (und ist) bei allen anderen Seiten auch passieren. Eine Entschuldigung tut nicht weh. Im Moment klingen die Aussagen hier von goneo alle gleich, irgendwie stur / bockig…
Im Prinzip hätte es gar kein joomla 2.5 / 3.0 gebraucht. Dadurch werden jetzt mehrere Versionen parallel entwickelt. Jede mit neuen Lücken. Wird 1.5 abgeschaltet, werden auch die Hacker sich neueren Versionen zuwenden.
Sicher, die Optik von Versionen > 1.5 sieht schicker aus. Es fehlt aber nach wie vor an beliebten Komponenten / Modulen. Die Migration wurde von den Entwicklern scheinbar nicht berücksichtigt.
@Peter Rübeling In unserem ganzen Kommentaren und Antworten haben wir sicher 10 Mal Formulierungen wie „Es tut uns Leid, dass…“, „wir haben Verstädnis für…“ etc verwendet und ganz sicher wollen wir uns weder bockig noch stur zeigen. Wenn Sie Wert darauf legen, entschuldigen wir uns auch in aller Form für die Unannehmlichkeiten, die Ihnen eventuell entstanden sind.
Auf rein sachlicher Ebene bitten wir zu bedenken, dass goneo nicht Hersteller oder Entwickler von Joomla! ist. Wir finden dieses CMS erklärtermaßen großartig,da sich damti phantastische Webseiten mit hohem Nutzwert und exzellenter Nutzererfahrung erstellen lassen, ohne dass der Anwender sehr versiert im Umgang mit PHP/MySQL, JQuery oder HTML/CSS sein muss.
Hallo Goneo,
vielleicht lese ich das falsche Blog aber auf diesem hier tut euch einmal Leid, dass jemand kündigen möchte und habt einmal Verständnis dafür, dass jemand mit Jupgrade nicht zurechtkommt (dafür könnt ihr aber nichts). Auch in meiner Support-Anfrage (ich bat nur um eine Fristverlängerung) tut euch nichts Leid habt aber immerhin Verständnis.
Wenigstens habt ihr euch aufgrund des Kommentars von Peter Rübeling in aller Form entschuldigt. Jetzt können wir alle glücklich sein, den Vorfall vergessen und uns wieder lieb haben.
Auf einer sachlichen Ebene bitte ich noch zu bedenken, dass nicht Joomla 1.5 unsicher ist (nur veraltet) sondern die optionale Komponente JCE.
Zurück auf eine ernstere Ebene:
Ich möchte noch anfügen, dass ich es sehr gut finde dass Goneo sich um die Sicherheit seiner Kunden bemüht, dafür ein absolutes Daumen hoch. Wobei ich einschränken möchte, dass ihr anscheinend anfangs nicht verstanden hattet, dass das Problem nicht Joomla sondern JCE ist. Hättet ihr diesen Sachverhalt entweder verstanden oder so wie jetzt behandelt hätte es gar kein Problem gegeben, das hätte vermutlich jeder verstanden.
Was mir aber vor allem nicht gefällt ist die Kommunikation in Richtung eurer Kunden, ihr zeigt in meinen Augen kein Verständnis, dass ein Update in 2 Tagen für viele Leute nicht problemlos durchführbar ist. Hier liest man eigentlich nur immer, updaten ist kein Problem, Kunde stell dich nicht so an. Auch fehlt mir eine Rückmeldung an die Kunden per E-Mail die den Sachverhalt richtig stellt, dass eben JCE die unsichere Komponente ist und nicht Joomla, 1.5 Seiten (vorerst) nicht abgeschalten werden es aber dringend empfohlen wird zu aktualisieren und dass ihr einen super Service bietet, betroffene (JCE-)Kunden per Mail zu warnen.
Danke für die Aufmerksamkeit.
Ich möchte nur kurz „eine Lanze“ für den JCE „brechen“! Dieser wird womöglich in ein schlechteres Licht gerückt, als er das verdient hat. Definitiv der beste und vielseitigste freie Editor für Joomla. Da beißt die Maus keinen Faden ab. Updates werden prompt geliefert und das Produkt steht unter ständiger Pflege. Ich bin seit Jahren Nutzer… auch der Pro Version, um das Projekt gebührend zu unterstützen. Mittlerweile ist der Editor in eine größere Revision aufgestiegen, und massiv überarbeitet worden.
Es handelt sich bei der besagten Sicherheitslücke, um eine frühere 1.x Revision des Editors für Joomla!1.5. Ich möchte das nur nochmal herausstellen, falls neue Benutzer oder Joomla Anfänger mitlesen.
Also, bekommt kein falsches Bild von diesem hervorragenden Produkt und der unermüdlichen Arbeit des Authors.
Wer intensiv mit J! Artikeln arbeitet, oder mehrere Authoren die Inhalte schreiben läßt, kommt am JCE nicht vorbei. Stichwort: Benutzerprofile.
Updates:
JCE v2.x bietet Update-Benachrichtigung und Download im Backend. Oder folgt JCE auf Twitter https://twitter.com/jceeditor
Dann entgeht Euch nichts.
Happy editing! 😉
@pepperstreet: Nicht falsch verstehen. Auch wir finden JCE ist ein phantastisches Stück Software mit vielen Möglichkeiten, das man absolut empfehlen kann. Wie bei jeder Software gibt es Weiterentwicklungen, die man mitgehen sollte. Das ist auch ein entscheidender Punkt.
Schön das die Seiten jetzt doch noch nicht abgeschaltet werden.
So bleibt doch noch ein bisschen mehr Zeit was neues zu Planen.
@goneo
So war das auch nicht gemeint oder verstanden worden. Ich wollte nur etwas Aufklärung und Gleichgewicht einbringen 😉 Viele Nutzer lesen oberflächlich oder geben die Infos im „stille Post-Stil“ weiter… und dann leidet ein Projekt an einer unnötigen falschen Reputation.
Apropos Leser:
Dieser blog ist sowas von versteckt und unbekannt? Auf der homepage in der zweiten? Ebene auf Augenhöhe mit dem Impressum… Ich habe ihn noch nie wahrgenommen, und bin schon ein paar Jahre dabei. Etwas Kosmetik und ein schickeres Template wäre auch nett 😉