Der Verein PostNuke e.V. bat um die Veröffentlichung folgender Warnung:

PostNuke ist ein mehrsprachiges Content-Management-System (CMS), geschrieben in PHP und lizenziert unter der GNU General Public License (GPL).

Wie in der letzten Nacht festgestellt wurde, war der Server downloads.postnuke.com offenbar das Ziel eines Hackerangriffs. Dateien im dort angebotenen ZIP-Archiv von PostNuke .750 wurden ausgetauscht. Unmittelbar nach Bekanntwerden wurden die Downloads zunächst deaktiviert, zwischenzeitlich wurde das Original-Archiv wiederhergestellt.

Wie unsere bisherigen Untersuchungen zeigen, erfolgte der Angriff offenbar am Sonntag, 24.10.04 kurz vor Mitternacht unserer Zeitzone. Die Angreifer nutzten eine Sicherheitslücke im benutzten Download-Management-System "pafiledb", um die Downloadadresse von PostNuke-0.750.zip auf ein kompromittiertes Archiv zeigen zu lassen. Der Angriff erfolgte _nicht_ über die PostNuke-Installation bzw. das PostNuke-eigene Downloads-Modul.

Die durch die Hacker vorgenommenen Änderungen finden sich an zwei Stellen. Zum einen werden in der Installationsroutine die eingegebenen Daten -- vom Servernamen über den Datenbankaccount bis hin zum Administratorkennwort -- an einen anderen Server weitergeleitet. Zum anderen befindet sich in einer der Core-Dateien ein Codeschnipsel, mit dem beliebige shell-Aktionen auf dem Web-Server möglich sind.

Die Änderung des Installationspakets war durch den nicht übereinstimmenden MD5 bzw. SHA-1-Hashwert leicht zu erkennen (mehr über dieses Verfahren im Handbuch).

Was ist zu tun, wenn ich das .zip-Paket in den letzten Tagen heruntergeladen habe?
Der erste Schritt ist es, in diesem Falle die Web-Präsenz sofort vom Netz zu nehmen -- am einfachsten durch eine .htaccess-Datei, die den Zugriff verhindert. Im Anschluß daran muss überprüft werden, ob das heruntergeladene Paket kompromittiert war. Ist dies der Fall, so sollte man -- gegebenenfalls gemeinsam mit dem Provider -- überprüfen, ob der eigene Server bereits zum Opfer der Hacker geworden ist. Das Datenbankkennwort muss sofort geändert werden; falls möglich auch der Datenbankname. Auf jeden Fall sollte das Paket erneut heruntergeladen und neu installiert werden. Dabei sollten auf keinen Fall dieselben Administratordaten verwenden wie bei der Erstinstallation.

Das PostNuke-Management wird versuchen, die Hacker zu ermitteln und juristische Schritte einleiten.