Ein Botnetz-Betreiber nutzt derzeit eine bislang unbekannte Schwachstelle in der Joomla-Erweiterung perForms aus, um auf Joomla-Servern mit der verwundbaren Erweiterung einen IRC-Bot zu installieren. Infizierte Rechner lassen sich an einem laufenden Prozess namens httpdse und einer ausgehenden IRC-Verbindung erkennen. Der ausgenutzte Programmierfehler befindet sich in der PHP-Datei components/com_perform/perform.php. 

Sie bindet externe Dateien über den globalen Parameter $mosConfig_absolute_path ein, ohne zuvor sicherzustellen, dass er nicht manipuliert wurde. Ein Angreifer kann dadurch unter Umständen beliebigen PHP-Schadcode nachladen, wenn der Webserver mit register_globals=on läuft. Das Botnetz nutzt die Suchmaschine Google, um nach weiteren potenziellen Opfern zu suchen. Laut Nepenthes-Entwickler Markus Kötter umfasst es derzeit rund 100 kompromittierte Server und wächst. (heise ) {moscomment}