Danske hjemmesider med i cyberangreb mod USA

Sørg for at holde Joomla opdateret. Sådan lyder rådet fra det danske Center for Cybersikkerhed, efter at flere danske Joomla-sider er blevet misbrugt i DDoS-angreb.

Flere hundrede danske hjemmesider og domæner er i den seneste tid blevet misbrugt i DDoS-angreb mod mål i blandt andet USA. Det oplyser Center for Cybersikkerhed i en meddelelse.

»Hundredvis af danske domæner og hjemmesider har ufrivilligt leveret infrastruktur til DDoS-angreb mod USA. De kompromitterede domæner og hjemmesider, som anvendes til angrebene, er typisk Joomla CMS-systemer,« oplyser centeret.

Joomla er et populært content managementsystem, der bruges som hjemmesideplatform hos flere webhostingfirmaer herhjemme.

I de konkrete sager har it-kriminelle udnyttet en sårbarhed i CMS'et til at opbygge et botnet, der bruges til at angribe og lægge hjemmesider ned gennem distribuerede denial of service-angreb.

»Angriberne har på forhånd udnyttet en sårbarhed til at tilegne sig adgang til hjemmesiderne og gjort dem til en del af Brobot-botnettet,« skriver Center for Cybersikkerhed.

Ifølge centeret er både små og store, danske webhostingleverandører blev udnyttet i angrebene. Og de er ofte ikke klar over det. Centeret anbefaler derfor alle leverandører at holde CMS'erne opdateret for at forebygge lignende angreb i fremtiden.

Du kan læse mere om, hvordan du håndterer DDoS-angreb i Center for Cybersikkerheds vejledning og i Version2-blogger Henrik Lund Kramshøjs gennemgang.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Lars Sommer

Hvorfor netop Joomla?

Jeg følger med i hvad der kommer af exploits mod de populære CMS'er, og umiddelbart virker det ikke som om der er mange flere exploits mod plugins til Joomla, end til f.eks. Wordpress.

En søgning på exploit-db viser, at der var flere public exploits mod plugins til wordpress, end mod plugins til joomla, det sidste halve år.

Er der flere Joomla-installationer i markedet?

Eller er der forskel på hvor hurtigt administratorerne patcher dem?

  • 3
  • 0
#2 Lars Tørnes Hansen

Der er en hostingudbtyder har lavet noget automtatisk opdateringer til både Joomla, og WordPress. http://blog.siteground.com/wordpress-autoupdate/ Jeg ved ikke lige om det er noget Open Source de bruger, og hvor man får fat i det.

Det er noget om WordPress Web Service API man kan bruge: http://wp.tutsplus.com/tutorials/plugins/a-guide-to-the-wordpress-http-a... Jeg er sikker på at Joomla har noget lignende.

Det nærmest kalder på at blive brugt i noget automatisering i et CRON job (min hosting udbyder tilbyder at jeg kan bruge CRON - i PHP gætter jeg). Lidt om CRON: http://en.wikipedia.org/wiki/Cron

  • 0
  • 0
#4 Bill Ebbesen

Hej Lars!

Jeg tror angrebet er rettet mod Joomla, da den sårbarhed jeg primært har set være udnyttet, er ekstremt udbredt.

Det vedrør komponentet "Joomla Content Editor" (JCE), og tillader alle at uploade filer til den sårbare side. Eksempler på hvordan dette gøres er blevet udbredt i et stort omfang af iranske hackere i forbindelse med "Operation Ababil".

Der findes ekstremt mange versioner af Joomla, og mine erfaringer fra mit arbejde er at folk sjældent holder dem opdateret. Dette skyldes ofte at de måske ikke selv har lavet deres side, og ikke ønsker at betale til udviklere jævnligt - eller at der ved opdatering er fare for ting ikke virker som de skal.

Jeg har kodet en side der kan hjælpe en til at sikre at man ikke er sårbar over for det primære Joomla-angreb:

http://joomlascanner.gigahost.dk/
  • Bill
  • 1
  • 0
Log ind eller Opret konto for at kommentere