In der Nacht von 02. auf 03. September wurden mehrere Joomla-Kundenseiten auf einem unserer Server von einer Defacing-Attake des Hackes h4TsA heimgesucht.
Nahezu zeitgleich zeigten mehr als zehn Kundenseiten statt der gewohnten Startseite nur noch folgendes Bild:
Um ca. 07:30 haben dann die verschiedenen Benachrichtigungsmechanismen angeschlagen und das graz4u-Team hat die betroffenen Seiten identifiziert und die Daten von der Sicherung restauriert. Die betroffenen Kunden wurden informiert.
Der Hacker gehört übrigens zur Kategorie „Friendly Hacker“ der mit seinem Defacement zwar für einige Aufregung gesorgt, jedoch im Grunde bewußt so wenig wie möglich zerstört hatte.
Leider konnte bisher nicht geklärt werden, über welche Schwachstelle der Hacker in das System eindringen konnte – allerdings waren nur dezitiert Joomla-Seiten betroffen. Seiten mit anderen CMS am selben Server blieben auf unseren Servern unangetastet, eine kurze Internetrecherche ergab jedoch, dass auch zahreiche andere Seiten mit verschiedensten CMS betroffen waren.
Wir gehen trotzdem aktuell von einer neueren Joomla-Schwachstelle oder auch von einer Schwachstelle in einer zusätzlichen Komponente wie etwa JoomFish die von fast allen Seiten genutzt wird aus und raten allen Joomla-Kunden auf die neuesten Versionen up zu daten – bzw, sich mit uns in Verbindung zu setzen, sofern Sie dabei Hilfe benötigen!