Joomla wurde wieder einmal Ziel von Hackern. Als weltweit beliebtestes CMS wird Joomla immer öfter angegriffen. Dieses Mal wird sogar eine Visitenkarte hinterlassen "hacked by Hmei7". Wie man sich gegen Hmei7 schützt kären wir hier auf...
Sollten dateien befallen sein, muss schnell reagiert werden. Empfohlen wird:
- Die Seite direkt in den Wartungsmodus oder komplett vom Netz
- Server-Logs nach Auffälligkeiten durchsuchen
- alle PC's die Zugriff auf die befallene Seite nach Trojanern untersuchen
- unnötige oder kaum benutze Erweiterungen aus Joomla löschen
- Ungenutzte Templates, Module und Plugins löschen
- Alle Erweiterungen auf Aktualität prüfen (insb. JCE Editor)
- Schreibrechte / Nutzerrechte überprüfen
- tmp & cache sauber halten
Eventuell befallene Dateien der Joomla Instanz:
- /images/stories/susu.php
- /images/x.txt
- /tmp/x.txt
- /.htaccess
- /configuration.php
- /index.php
- /index.htm
- /index.html
Bitte löschen Sie die nachfolgenden Dateien, sofern vorhanden:
- 000-aaz.gif
- 0day.php
- c99.php
- config.root
- css.php
- en-gt.php
- index.old.php
- lib.php
- maroc.php
- r57.php
- rc.php
- story.php
- tar.tmp
- sejeal.jpg
- toy.php
- web1.php
- wh.php
- Wos.php
- xxu.php
- xxx.php
- zzzzx.php
Um künftig nicht wieder angegriffen zu werden muss JCE Version > 2.3.1 installiert sein. Setzen Sie die Schreibrechte so wie druch Joomla empfohlen. Teils reicht CHMOD 644. Weitere Hinweise finden Sie im Beitrag Joomla Sicher machen.
