Joomla jest popularnym w Polsce systemem zarządzania treści (CMS-em, ang. Content Management System) rozpowszechnianym na zasadach licencji GNU GPL i dostosowanym do współpracy z serwerem Apache, choć jeśli ktoś się uprze, to może go zainstalować także na IIS firmy Microsoft. Spolszczona wersja Joomli jest dostępna na serwerze Fundacji PCJ Otwarte Źródła pod adresem www.joomla.pl - obok najnowszych pakietów instalacyjnych znajdziemy tam również wersje archiwalne.

Jeden z Czytelników Dziennika Internautów poinformował o wykryciu exploita w wersji 1.5.24. Jeżeli w ciągu ostatnich dwóch miesięcy (po 1 sierpnia) instalowałeś to wydanie Joomli i jeszcze go nie zaktualizowałeś, możesz mieć problem. Jak tłumaczy Czytelnik, mechanizm działania szkodliwego kodu, który został „zaszyty” w CMS-ie, jest bardzo prosty:

1. Użytkownicy ściągają polską paczkę Joomli. Robią to chętnie, gdyż mają all-in-one - najnowszą Joomlę oraz tłumaczenie.
2. Instalują na serwerze.
3. W trakcie wykonywania skryptu instalacyjnego wysyłany jest mail (...) z krótką treścią - gdzie szukać zainfekowanego serwisu.
4. Teraz wystarczy, że napastnik wywoła exploita i może zrobić wiele. Nie jest to exploit na roota, gdyż zwykle dostawcy hostingu są zabezpieczeni przed nieautoryzowanym dostępem na uprawnieniach użytkownika hostingu, ale to, co da się zrobić na uprawnieniach usera, zwykle stoi otworem. A zwykle da się wiele, np. można uruchomić rozsyłanie spamu, można zainstalować wirusa, który będzie pobierany na dysk niezabezpieczonych użytkowników odwiedzających witrynę, można wykonywać operacje sieciowe, w tym ataki brute force, DoS/DDoS (...)

Dziennik Internautów skontaktował się w tej sprawie ze Stefanem Wajdą, prezesem Fundacji PCJ Otwarte Źródła i jednocześnie koordynatorem Polskiego Centrum Joomla. Problem jest badany, a uszkodzony pakiet instalacyjny został zastąpiony oryginalnym (opublikowano już stosowny komunikat na ten temat).

Jeżeli wykorzystałeś do instalacji na serwerze produkcyjnym omawiane wydanie Joomli - bez względu na to, czy widzisz jakiekolwiek ślady naruszenia integralności witryny - zastosuj procedurę postępowania jak po włamaniu:

• zmień wszystkie istotne hasła,
• poinformuj administratora serwera o możliwości włamania,
• przeinstaluj wszystko w witrynie - zaktualizuj Joomlę do najnowszej wersji (1.5.26).

Szczegółowe informacje dotyczące postępowania w podobnych przypadkach znajdziesz w artykule pt. Witryna po włamaniu.

Na przestrzeni minionego półrocza mieliśmy do czynienia z powtarzającymi się próbami naruszenia integralności systemu plików na serwerze PCJ. Niestety, nie wszystkie udało się udaremnić – tłumaczy Stefan Wajda w odpowiedzi na zapytanie Dziennika Internautów. – Podczas jednej z takich prób w początkach poprzedniego miesiąca napastnikowi udało się w sposób niepozostawiający śladów zastąpić oryginalny pakiet instalacyjny wydania Joomla 1.5.24 po polsku plikiem zawierającym złośliwy kod.

Jak podkreśla koordynator Polskiego Centrum Joomla: Pakiet ten już od 14 listopada 2011 roku nie powinien być absolutnie wykorzystywany do instalacji nowych witryn jako przestarzały i zawierający znane luki w bezpieczeństwie, naprawiane w kolejnych wydaniach – Joomla 1.5.25, które ukazało się w listopadzie ubiegłego roku, i 1.5.26, które opublikowano w marcu bieżącego roku. Niemniej, można zakładać, że mniej doświadczeni użytkownicy wykorzystali tę przestarzałą i dodatkowo uszkodzoną wersję do uruchomienia nowych witryn.

Jaka może być skala problemu? Miesięcznie odnotowujemy nawet kilkaset pobrań także starszych wersji oprogramowania. Dlatego ostrzeżenia Waszego Czytelnika na pewno nie można zlekceważyć - napisał Stefan Wajda, dodając, że Polskie Centrum Joomla uruchomiło już dodatkowe procedury bezpieczeństwa, które powinny uniemożliwić podobne sytuacje w przyszłości.

Czytaj także: Korzystasz z serwera na platformie e24cloud? Lukę napraw sam