Poslední dobou se začínají množit úspěšné útoky na weby provozované redakčním systémem Joomla. V prvé řadě je třeba poznamenat, že na čistou a správně nainstalovanou verzi 1.0.10 zatím žádný úspěšný útok evidován nemám. Jak to tedy je?
Většina útoků je vedena skrz script injection (vložení cizího kódu) a dá se aplikovat na špatně napsané komponenty. Jako příklad uvádím komunitou nejvíce diskutované:
- RS Gallery
- Simpleboard (Joomlaboard)
- ExtCalendar
Na poslední dvě jmenované komponenty jsme zaznamenali v posledním týdnu více pokusů. Pokaždé byl pro injection (vložení) použit script c99shell. Z http logu je možno vypozorovat, jak hackeři při pokusu postupovali.
http log útoku na ExtCalendar
http log útoku na Simpleboard
Hackeři pomoci úspěšného útok dostanou absolutní kontrolu nad Vaším webem. Nastavení readonly práv na soubory Vám nepomůže.
Celkově lze shrnout, že systém útoků je poměrně jednoduchý a není k němu třeba být security guru. Obrana spočívá v ustavičném sledování webových stránek a diskuzních fór jak samotného CMS Joomla, tak Vámi používaných komponent. V případě jakýchkoliv pochybností o zranitelnosti je třeba inkriminované komponenty stáhnout či nahradit lépe napsanou alternativou. Nastavení práv pouze pro čtení na configuration.php (a ostatní soubory) by asi mělo být standardem, i když takováto ochrana je v případě úspěšného injection pravděpodobně neúčinná.
Bohužel i tak budou vždy hackeři krok před Vámi a jediné, co Vám může pomoci stoprocentně, je kvalitní zálohování.