Der Hmei7-Hack hat zahllose Joomla-Homepages befallen, allerdings nur Uralt-Versionen der Reihe 1.5. Wegen der vielen Nachfragen haben wir die beste der im Netz kursierenden Anleitungen zum Entfernen des Hacks ins Deutsche ĂŒbersetzt.
Hier einen Rechtsanwalt zu diesem Thema finden
Verbraucherschutz.tv kooperiert deutschlandweit mit vielen kompetenten RechtsanwÀlten auch aus Ihrer Region. Sie sind Anwalt und möchten hier veröffentlichen? Bitte Mail an usch@talking-text.de
Erste Aktion: Passworte (FTP und Datenbank) verĂ€ndern. Die Hacker-Attacke „Hmei7“ bezieht sich auf folgende Dateien innerhalb der Joomla 1.5-Version. Die meisten Daten wurden verĂ€ndert, einige hinzugefĂŒgt:
/images/stories/susu.php
/images/x.txt
/tmp/x.txt
/.htaccess
/configuration.php
/index.php
/index.htm
/index.html
Die Dateien susu.php and x.txt mĂŒssen komplett gelöscht werden. Die configuration.php und die index.php im Hauptverteichnis idealerweise löschen und durch die Dateien der Sicherungskopie ersetzen. Eventuell erscheinen im Hauptverzeichnis index.htm- oder index.html-Dateien – diese mĂŒssen ersatzlos gelöscht werden. Sollte es Probleme beim Wiederherstellen von Dateien geben, so muss man sich die Original-Dateien aus dem Installations-Paket vornehmen und auf die eigene Seite anpassen. Die index.php kann dabei komplett ĂŒbernommen werden. Die configuration.php muss um die relevanten Parameter wie Datenbank-Passwort etc. angepasst werden
Bitte sucht auch nach folgenden Dateien:
000-aaz.gif
0day.php
c99.php
config.root
css.php
en-gt.php
index.old.php
lib.php
maroc.php
r57.php
rc.php
story.php
tar.tmp
toy.php
web1.php
wh.php
Wos.php
xxu.php
xxx.php
zzzzx.php
Bitte alles ersatzlos löschen. Tipp: Lasst das FTP-Programm die Daten nach Datum sortieren. Das mĂŒsste helfen
Die Configurationsdatei wurde an folgenden Stellen verÀndert:
$secret â bitte Ă€ndern.
$log_path â auf richtigen Pfad kontrollieren
$tmp_path â auf richtigen Pfad kontrollieren
$user â geĂ€nderten Usernamen eintragen.
$db â geĂ€nderte Datenbank eintragen.
$password â geĂ€ndertes Passwort eintragen..
Nach Bearbeitung die Configuration.php von 777 auf 644 setzen. Wenn alles richtig gemacht wĂŒrde muss die Seite jetzt wieder laufen.
Den englischen Originaltext findet ihr hier: http://www.joshpate.com
Hier gibt es auch noch weitere Hinweise! Und bevor ihr auf den Hacker schimpft: Er hĂ€tte viel mehr zerstören können, wenn er gewollt hĂ€tte. Er hat sich auf ein reines Offline-Schalten der Seiten beschrĂ€nkt. Man sollte ihm fĂŒr das Aufzeigen von SicherheitslĂŒcken dankbar sein.
Diese Anleitung ist ja ganz nett aber nur ein Agieren nach dem Einfall. Sinnvoller ist es, schnellstmöglichst auf Joomla 2.5 zu aktualisieren und alle verwendeten Komponenten, Module und Plugins von vornherein auf dem aktuellen Stand zu halten. Auch raten wir dringendst, auf den JCE (Joomla Content Editor) zu verzichten.
MfG
Tobias Gollwitzer
Inhaber Goggosoft