Der Hmei7-Hack hat zahllose Joomla-Homepages befallen, allerdings nur Uralt-Versionen der Reihe 1.5. Wegen der vielen Nachfragen haben wir die beste der im Netz kursierenden Anleitungen zum Entfernen des Hacks ins Deutsche übersetzt.
Erste Aktion: Passworte (FTP und Datenbank) verändern. Die Hacker-Attacke "Hmei7" bezieht sich auf folgende Dateien innerhalb der Joomla 1.5-Version. Die meisten Daten wurden verändert, einige hinzugefügt:
/images/stories/susu.php /images/x.txt /tmp/x.txt /.htaccess /configuration.php /index.php /index.htm /index.html
Die Dateien susu.php and x.txt müssen komplett gelöscht werden. Die configuration.php und die index.php im Hauptverteichnis idealerweise löschen und durch die Dateien der Sicherungskopie ersetzen. Eventuell erscheinen im Hauptverzeichnis index.htm- oder index.html-Dateien - diese müssen ersatzlos gelöscht werden. Sollte es Probleme beim Wiederherstellen von Dateien geben, so muss man sich die Original-Dateien aus dem Installations-Paket vornehmen und auf die eigene Seite anpassen. Die index.php kann dabei komplett übernommen werden. Die configuration.php muss um die relevanten Parameter wie Datenbank-Passwort etc. angepasst werden
Bitte sucht auch nach folgenden Dateien:
000-aaz.gif 0day.php c99.php config.root css.php en-gt.php index.old.php lib.php maroc.php r57.php rc.php story.php tar.tmp toy.php web1.php wh.php Wos.php xxu.php xxx.php zzzzx.php
Bitte alles ersatzlos löschen. Tipp: Lasst das FTP-Programm die Daten nach Datum sortieren. Das müsste helfen
Die Configurationsdatei wurde an folgenden Stellen verändert:
$secret – bitte ändern. $log_path – auf richtigen Pfad kontrollieren $tmp_path – auf richtigen Pfad kontrollieren $user – geänderten Usernamen eintragen. $db – geänderte Datenbank eintragen. $password – geändertes Passwort eintragen..
Nach Bearbeitung die Configuration.php von 777 auf 644 setzen. Wenn alles richtig gemacht würde muss die Seite jetzt wieder laufen.
Den englischen Originaltext findet ihr hier: http://www.joshpate.com
Hier gibt es auch noch weitere Hinweise! Und bevor ihr auf den Hacker schimpft: Er hätte viel mehr zerstören können, wenn er gewollt hätte. Er hat sich auf ein reines Offline-Schalten der Seiten beschränkt. Man sollte ihm für das Aufzeigen von Sicherheitslücken dankbar sein.
