Joomla-Seiten als Malware-Schleudern missbraucht

Über eine bekannte Lücke des verbreiteten Joomla Content Editors kapern Unbekannte bereits seit Wochen automatisiert Web-Server. Jetzt wird offenbar abkassiert und über die Seiten Schad-Software verteilt.

In Pocket speichern vorlesen Druckansicht 93 Kommentare lesen
Lesezeit: 3 Min.

Das Internet Storm Center berichtet über eine große Zahl von Joomla-Sites, die derzeit Schadcode ausliefern und Besucher mit Malware infizieren; auch einige Wordpress-Sites sollen betroffen sein. Das vom BSI betriebene CERT-Bund bestätigt, dass auch hier in Deutschland aktuell derartige Angriffe auf und von Joomla-Servern gesichtet wurden.

Thomas Hungenberg vom CERT-Bund erklärte gegenüber heise Security, dass nach seinen Erkenntnissen die kompromittierten Sites seit einigen Tagen gezielt missbraucht werden, um Rechner über ein Exploit-Kit vor allem mit FakeAV-Software zu infizieren. Dazu wird in die Web-Seiten ein IFrame eingebettet, das zunächst auf ein Sutra Traffic Distribution System zeigt und dann schließlich auf ein Exploit Kit weiterleitet. Die URLs endeten bis vor kurzem wie auch vom ISC beschrieben auf /nighttrend.cgi?8, seit einigen Stunden tauchten aber auch andere URLs wie hxxp://kwydcpkq.qhigh.com/gjgdyrzd77.cgi?8 auf.

Die ursprüngliche Infektion erfolgte Hungenbergs Analyse zufolge wohl automatisiert über ein spezielles Skript, das bekannte Schwachstellen im verbreiteten Joomla Content Editor ausnutzt. Gemäß einer Beschreibung von Joomla Downloads schleust es als GIF-Datei getarnten PHP-Code auf dem Server ein, den der Angreifer anschließend von außen aufrufen und damit ausführen kann. Dabei handelt es sich um eine PHP-Shell, die nun dazu genutzt wird, um die Server zu manipulieren. Konkret inifizieren weitere eingeschleuste PHP-Skripte regelmäßig JavaScript-Dateien des Servers wie /media/system/js/mootools.js oder /media/system/js/caption.js mit neuen IFrames.

Ganz offensichtlich ist für die Betrüger der Zeitpunkt zum Abkassieren gekommen: Über sogenannte Traffic Distribution Systems, die Web-Traffic an- und verkaufen, und vorgebliche Antiviren-Software, die den Anwender zum Kauf einer Pro-Version drängelt, können Kriminelle die gekaperten Server in klingende Münze umsetzen. Beides sind funktionierende und verbreitete Geschäftsmodelle im Cyber-Untergrund.

Wer also eine Joomla-Seite administriert, sollte unbedingt überprüfen, ob er nicht irgendwann mal auch den Joomla Content Editor installiert hat und wenn dies der Fall ist, diesen auf die derzeit aktuelle Version JCE 2.3.1 aktualisieren. Wer eine alte Version vorgefunden hat, tut außerdem gut daran, alle JavaScript-Dateien auf verdächtige IFrames zu untersuchen. Eine schnellen Überblick verschafft der Kommandozeilen-Befehl

find . -print0 -name \*.js | xargs -0 grep -i iframe

Der springt zwar nicht auf Varianten an, bei denen das IFrame-Tag erst mit Script-Code nachträglich zusammengebaut wird; das war allerdings bei den heise Security bekannten, infizierten Sites nicht der Fall. Die eingeschleuste PHP-Hintertür findet sich häufig unter /images/stories/story.php.

Update: 12.12.2012, 11:30: Die Beschreibung der Infektion der JavaScript-Dateien wurde geringfügig korrigiert. (ju)