erneut Attacken gegen unsere Hosts (DoS / DDoS) erfolgreich abgewehrt

Die Hauptschuldigen für diese DoS und DDoS-Attacken, sind die unqualifizierten Entwickler von Joomla, die in Alt-Versionen von Joomla einen öffentlich zugänglichen Proxy eingebaut haben und von WordPress, die eine unsichere WordPress-API-Schnittstelle mit ausliefern! Angriffe erfolgen derzeit auf 4 verschiedene Scripte, die eine Menge von Webseiten, Servern und Hosts weltweit lahm legen!  Primär werden folgende Schwachstellen angegriffen:

Joomla: – Einloggen in /administrator/index.php
WordPress: Einloggen in wp-admin

Sekundär und viel heftiger sind die Angriffe auf:

Joomla: plugin_googlemap2_proxy.php – Verwendung des Scripts als öffentlichen Proxy
WordPress: xmlrpc.php – Einbruchsversuche

Die Ausnutzung des plugin_googlemap2_proxys.php ist jedoch das heftigste Hacking, weil es

  • den Server und auch die Host-Systeme enorm belastet und
  • dabei Fremdsysteme gehackt werden, um diese ebenfalls zu belasten!
  • noch schlimmer ist, daß dieses Plugin offensichtlich standardmäßig von Joomla ausgeliefert wurde!

Selbst wenn also dieses Plugin überhaupt nicht aktiviert worden ist, war es offen als Proxy verwendbar und nur die manuelle Deinstallation und sicherheitshalber das Kontrollieren, daß diese Datei sich nicht noch in alten Verzeichnissen befindet, kann hier Abhilfe schaffen und nicht unbedingt ein Update/Upgrade von alten Versionen von Joomla hat hier diese Verzeichnisse mit dem alten Plugin gelöscht! Also jeder Webspace-Inhaber sollte prüfen, ob er noch das alte Google-Plugin in seinen Verzeichnissen hat UND Server-Administratoren sollten hier auch die Webverzeichnisse scannen.

Gefunden haben wir das Plugin je Version in verschiedenen Verzeichnissen auf extrem vielen Kunden-Webspaces und diese Scripte wurden gestern und heute massiv von Hackern attackiert, so daß die Hosts langsamer wurden und einzelne Server sogar kurzfristig überlastet waren!. Die Scripte befinden sich in:

/content

/plugin/system

/plugin/system/plugin_googlemap2

Also Server-Administratiors sollten wie folgt suchen, denn bei Joomla ist nichts sicher: In Webspace-Dokumenten-Baum wechseln, z.B. bei Plesk: <br class=“clear“ /><br class=“clear“ />cd /var/www/vhosts <br class=“clear“ /><br class=“clear“ />find . -name ‚*proxy*‘ <br class=“clear“ /><br class=“clear“ />Daß dauert ein Weilchen und listet alle Dateien mit dem Wort proxy im Dateinamen auf!

Lesen Sie bitte auch:

spanische Polizei hat 4 DDoS-Attacker festgenommen

DDoS von Sony Pictures?

neue Server-Modelle XFCE / VNC – Root-Server für jedermann (-oder Frau)

Ist Ihr Browser sicher? Führen Sie den Pudel-Test durch!

2 Gedanken zu „erneut Attacken gegen unsere Hosts (DoS / DDoS) erfolgreich abgewehrt“

  1. Vielen Dank für den Hinweis. Denn ich habe einmal auf einem Account Joomla installiert und nach einiger Zeit wieder deinstalliert mit der automatischen Routine und da sind dann Joomla – Fragmente im Hauptverzeichnis übrig geblieben. Zum Glück konnte das rechtzeitig gelöscht werden, weil Sie sehr aufmerksam sind und sich vor Allem auch auskennen, was passiert. Auf anderen Servern wird einem nicht einmal gesagt, dass was nicht geht.
    Danke für Ihre Hilfe! GH

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.