1. Ana Sayfa
  2. Joomla
  3. Joomla JED sunucusu hacklendi

Joomla JED sunucusu hacklendi

Joomla JED Hack
2

PHP ve MySQL ile MVC olarak geliştirilen açık kaynak kaynağına sahip Joomla içerik yönetim sistemi, benim de web alanında ilk kullandığım sistemlerden biri olması hasebiyle hala takip ettiğim bir projedir. Kaliteli arayüzü ve gelişmiş içerik yönetimi ile dünyanın en çok tercih edilen hazır web sistemlerinden biri olan ödüllü içerik yönetim sistemi Joomla hakkında e posta kutuma düşen son posta dikkatimi çekti. Gelen postada özetle Joomla JED kullanıcı hesap bilgilerinin ele geçirildiğine dair bir kanıt olmasa da bu bilgilerin değiştirilmesi öneriliyordu. Gelin ayrıntıları irdeleyelim:

Joomla JED bilgilerinizi değiştirin

Bu posta sonrası Joomla eklenti dizininde an itibariyle kontrol ettiğimde 7900 adet eklenti (bileşen/modul/plugin/tema) yer almaktaydı. Bu eklentileri favorilere eklemek, yorum yazmak içinse kullanıcıların JED’e üye olmaları gerekiyordu. İşte olay burada başladı.

Bir güvenlik araştırmacısı tarafından Joomla Güvenlik Takımına yapılan 15 Mayıs 2019 tarihli bildirimde, JED web sitesi içerisinde bir kripto madencisinin kurulduğu ve bu yolla dijital para birimi kasıldığına yönelik bir ekran görüntüsü gönderildi. Bu bildirim üzerine Joomla Güvenlik Takımı, JED üyeleri ile birlikte konuyu araştırdı.

Joomla JED sunucularına yapılan bu işlem sonrası güvenlik ekibi şifrelerin değiştirilmesini önerdi.

Yapılan araştırma sonucunda JED sunucu kaynaklarını kötüye kullanan (CPU ve bellek harcayan) şifreli bir kripto madencisinin sunucuya kurulduğunu ve aktif olarak çalıştığını tespit edildi. JED ekibi bunun üzerine tüm hizmetleri geçici olarak durdurdu ve bir eylem planı uygularak kısıtlı kişilere yetki verdiler ve olayı derinlemesine araştırdılar. Joomla Güvenlik ekibi bu “sızmanın” diğer Joomla.org mimarisini etkilemediğini ve sadece JED sunucusunun etkilendiğini açıkladılar.

Araştırma sonucunda ayrıca kullanıcılara resmi site üzerinden açıklamada yapıldı. Bu açıklamada özetle kripto madencisi yazılımın 11 Mayıs 2019 tarihinde JED web sitesine veritabanı üzerinden kurulduğunu ve yapılan çalışmalar sonucunda bu kötü niyetli yazılımın 15 Mayıs 2019 tarihinde tamamen kaldırıldığını açıklandı. Tabii işler burada bitmiyor; ekip her ne kadar şifrelerin kötü niyetli kişilerin eline geçtiğine dair herhangi bir emare bulunmadığını özellikle belirtse de her ihtimale karşı JED üyelerinin şifrelerini değiştirmelerini önerdi, özellikle aynı kullanıcı adı ve şifreleri farklı sitelerde kullananların mutlaka şifrelerini değiştirmelerini de ben öneriyorum.

Sanal madencilik revaçta

Bitcoin fiyatlarının 7000 dolar seviyelerine çıktığı bu dönemde sanal madencilik revaçta ve sanal madenciler de çok pahalı ve aşırı elektrik tüketen sistemleri kurmak yerine ziyaretçilerin hiç haberi olmadan, ziyaretçilerin bilgisayarlarını sömürme amaçlı web sitelerinin kodlarının arasına saklanmış vaziyette gizli kodlar yardımıyla madencilik yaparak ziyaretçilerin bilgisayarlarını bir nevi izinsiz kullanıyorlar ve bu işten ciddi miktarda para kazanıyorlar. Joomla gibi milyonların girdiği bir sitede bu koddan acaba kaç para kazanmışlardır? İnsan merak etmiyor, değil. : )

Daha ayrıntılı bilgi için aşağıdaki sayfayı ziyaret edebilirsiniz:

https://community.joomla.org/blogs/leadership/jed-server-security-incident-report.html

Yorum Yap