Das Portal "Internet Storm Center" meldet derzeit eine große Zahl von Joomla-Sites, die den Joomla Content Editor infiziert haben, über diesen Schadcode ausliefern und Besucher mit Malware infizieren. Auch einige Wordpress-Sites sollen betroffen sein. Das vom BSI betriebene CERT-Bund bestätigt ebenso derartige Angriffe auf und von Joomla-Servern aus Deutschland.
Das Portal "Internet Storm Center" meldet derzeit eine große Zahl von Joomla-Sites, die den Joomla Content Editor infiziert haben, über diesen Schadcode ausliefern und Besucher mit Malware infizieren. Auch einige Wordpress-Sites sollen betroffen sein. Das vom BSI betriebene CERT-Bund bestätigt ebenso derartige Angriffe auf und von Joomla-Servern aus Deutschland.
Laut Bericht von heise Security Thomas erklärte Thomas Hungenberg vom CERT-Bund, dass nach seinen Erkenntnissen die kompromittierten Sites seit einigen Tagen gezielt missbraucht werden, um Rechner über ein Exploit-Kit vor allem mit FakeAV-Software zu infizieren. Dazu wird in die Web-Seiten ein IFrame eingebettet, das zunächst auf ein Sutra Traffic Distribution System zeigt und dann schließlich auf ein Exploit Kit weiterleitet. Die URLs endeten bis vor kurzem wie auch vom ISC beschrieben auf /nighttrend.cgi?8, seit einigen Stunden tauchten aber auch andere URLs wie hxxp://kwydcpkq.qhigh.com/gjgdyrzd77.cgi?8 auf.
Wer also eine Joomla-Seite administriert, sollte unbedingt überprüfen, ob er nicht irgendwann mal auch den Joomla Content Editor installiert hat und wenn dies der Fall ist, diesen auf die derzeit aktuelle Version JCE 2.3.1 aktualisieren.
Quelle: heise Security
