Joomla-Server gehackt

Die Webseite des Content-Management-Systems Joomla wurde gehackt, läuft inzwischen aber wieder normal. Ein Unbekannter hatte unter anderem das Joomla-Logo gegen ein eigenes ausgetauscht. Die Inhalte der Homepage sollen außerdem übergangsweise nicht erreichbar gewesen sein.

Sofort hatte der Webmaster die Log-Dateien gesichert und den gesamten Content neu aufgespielt. Mehr konnte er zunächst nicht tun, weil er unterwegs war und nur sehr eingeschränkt online. Zurück zu Hause, bot sich dem Webmaster aufs Neue ein schauerliches Bild: Der Hacker war immer noch damit beschäftigt die Webseiten zu verschandeln. Betroffen war offenbar der gesamte Server: die Hauptseite, die Developer-Seiten, die Hilfe-Seiten und der Shop. Also hat der Webmaster den Server ganz vom Netz genommen und nach Spuren des Eindringlings gesucht. In den Verzeichnissen des Shops fand der Webmaster Shell-Skripte.

Das Joomla-Team ist immer noch ratlos, durch welche Lücke der Hacker geschlüpft sein könnte. Man schließt nicht aus, dass der falsche Umgang mit der PHP-Option register_globals Tür und Tor geöffnet hat. Auch das Fehlen eines Zugriffschutzes (.htaccess) könnte dem Eindringling dienlich gewesen sein. Bei allem Rätselraten ist man sich sicher, dass die Joomla-Kernkomponenten keine Schuld am Vorfall tragen, ebensowenig der Hoster des Servers. Die Lücke sei irgendwo im Shop-System zu suchen. (ola)