Deutsche Anleitung hmei7 – Entfernung / Removal

Der Hmei7-Hack hat zahllose Joomla-Homepages befallen, allerdings nur Uralt-Versionen der Reihe 1.5. Wegen der vielen Nachfragen haben wir die beste der im Netz kursierenden Anleitungen zum Entfernen des Hacks ins Deutsche übersetzt.

Rechtsanwalt zu diesem Thema finden

Hier einen Rechtsanwalt zu diesem Thema finden

Verbraucherschutz.tv kooperiert deutschlandweit mit vielen kompetenten Rechtsanwälten auch aus Ihrer Region. Sie sind Anwalt und möchten hier veröffentlichen? Bitte Mail an usch@talking-text.de

Erste Aktion: Passworte (FTP und Datenbank) verändern. Die Hacker-Attacke „Hmei7“ bezieht sich auf folgende Dateien innerhalb der Joomla 1.5-Version. Die meisten Daten wurden verändert, einige hinzugefügt:

/images/stories/susu.php
/images/x.txt
/tmp/x.txt
/.htaccess
/configuration.php
/index.php
/index.htm
/index.html

Die Dateien susu.php and x.txt müssen komplett gelöscht werden. Die configuration.php und die index.php im Hauptverteichnis idealerweise löschen und durch die Dateien der Sicherungskopie ersetzen. Eventuell erscheinen im Hauptverzeichnis index.htm- oder index.html-Dateien – diese müssen ersatzlos gelöscht werden. Sollte es Probleme beim Wiederherstellen von Dateien geben, so muss man sich die Original-Dateien aus dem Installations-Paket vornehmen und auf die eigene Seite anpassen. Die index.php kann dabei komplett übernommen werden. Die configuration.php muss um die relevanten Parameter wie Datenbank-Passwort etc. angepasst werden

Bitte sucht auch nach folgenden Dateien:

000-aaz.gif
0day.php
c99.php
config.root
css.php
en-gt.php
index.old.php
lib.php
maroc.php
r57.php
rc.php
story.php
tar.tmp
toy.php
web1.php
wh.php
Wos.php
xxu.php
xxx.php
zzzzx.php

Bitte alles ersatzlos löschen. Tipp: Lasst das FTP-Programm die Daten nach Datum sortieren. Das müsste helfen

Die Configurationsdatei wurde an folgenden Stellen verändert:

$secret – bitte ändern.
$log_path – auf richtigen Pfad kontrollieren
$tmp_path – auf richtigen Pfad kontrollieren
$user – geänderten Usernamen eintragen.
$db – geänderte Datenbank eintragen.
$password – geändertes Passwort eintragen..

Nach Bearbeitung die Configuration.php von 777 auf 644 setzen. Wenn alles richtig gemacht würde muss die Seite jetzt wieder laufen.

Den englischen Originaltext findet ihr hier: http://www.joshpate.com

Hier gibt es auch noch weitere Hinweise! Und bevor ihr auf den Hacker schimpft: Er hätte viel mehr zerstören können, wenn er gewollt hätte. Er hat sich auf ein reines Offline-Schalten der Seiten beschränkt. Man sollte ihm für das Aufzeigen von Sicherheitslücken dankbar sein.

2 comments
  1. Diese Anleitung ist ja ganz nett aber nur ein Agieren nach dem Einfall. Sinnvoller ist es, schnellstmöglichst auf Joomla 2.5 zu aktualisieren und alle verwendeten Komponenten, Module und Plugins von vornherein auf dem aktuellen Stand zu halten. Auch raten wir dringendst, auf den JCE (Joomla Content Editor) zu verzichten.

    MfG
    Tobias Gollwitzer
    Inhaber Goggosoft

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.