1blu

»

ID #1748

Angriff auf Joomla-Installation

WICHTIG: Die nachfolgenden Informationen beziehen sich auf eine spezielle Sicherheitslücke, die in Joomla-Installtionen enthalten ist, welche den "JCE" vor Version 2.3.1 verwenden.

 

Ob Ihre Webseite kompromittiert wurde, können Sie selbst prüfen. In diesem Fall erscheint beim Aufruf von
„IhreWebseite.Endung/x.txt" der Text  "hacked by Hmei7".

 

Acht Dateien sind möglicherweise von diesem Angriff betroffen:

 

/images/stories/susu.php

/images/x.txt

/tmp/x.txt

/.htaccess

/configuration.php

/index.php

/index.htm

/index.html

 

Nicht alle oben aufgeführten Dateien müssen verändert worden sein. Es ist auch möglich, dass
weitere Dateien kompromittiert wurden. Es sind ausschließlich Dateien mit Schreibrechten betroffen.

 

 

step by step

 

Um die veränderten Dateien wieder in den Ursprungszustand herzustellen, gehen Sie bitte wie folgt vor:

 

- Sie verbinden sich mittels FTP (z.B. mit Filezilla) mit Ihrem Webspace.

- Bitte prüfen Sie Ihren Webspace auf Dateien, die nach Ihrer letzten Änderung modifiziert worden sind.
  (Hierzu können Sie das Datum der letzten Änderung der Datei als Anhaltspunkt nehmen.)

- Bitte ersetzen Sie diese Dateien durch eine Version aus Ihrem Backup, welches vor der Veränderung
  erstellt wurde.

 

Bitte löschen Sie die nachfolgenden Dateien, sofern vorhanden:

 

000-aaz.gif

0day.php

c99.php

config.root

css.php

en-gt.php

index.old.php

lib.php

maroc.php

r57.php

rc.php

story.php

tar.tmp

toy.php

web1.php

wh.php

Wos.php

xxu.php

xxx.php

zzzzx.php

 

 

Sofern Sie über kein Backup der Konfigurationsdatei "configuration.php" verfügen, (die sich im
Root-Verzeichnis Ihrer Installation befindet) öffnen Sie einen Texteditor (zb. Notpad++) und kopieren
die nachstehend angezeigten Inhalte der Beispieldatei "configuration.php" in den Texteditor. Diese
muss durch die entsprechenden Zugangsdaten (Bsp. FTP, MySQL-Datenbank, absoluter Pfad etc.)
ergänzt werden.

Nach Bearbeitung der Datei speichern Sie diese bitte unter dem Namen „configuration.php“ und laden
sie anschließend per FTP auf Ihren Webspace ins Root-Verzeichnis Ihrer Installation.

 

<Beispiel> configuration.php:

 

 

<?php
class JConfig {
var $offline = '0';
var $editor = 'tinymce';
var $list_limit = '20';
var $helpurl = 'http://help.joomla.org';
var $debug = '0';
var $debug_lang = '0';
var $sef = '1';
var $sef_rewrite = '0';
var $sef_suffix = '0';
var $feed_limit = '10';
var $feed_email = 'author';
var $secret = 'xxxxxxxxxxxxxxxx';
var $gzip = '0';
var $error_reporting = '-1';
var $xmlrpc_server = '0';
var $log_path = '/var/www/logs';
var $tmp_path = '/var/www/tmp';
var $live_site = '';
var $force_ssl = '0';
var $offset = '-7';
var $caching = '0';
var $cachetime = '15';
var $cache_handler = 'file';
var $memcache_settings = array();
var $ftp_enable = '0';
var $ftp_host = '127.0.0.1';
var $ftp_port = '21';
var $ftp_user = '';
var $ftp_pass = '';
var $ftp_root = '';
var $dbtype = 'mysqli';
var $host = 'localhost';
var $user = 'dbuser';
var $db = 'dbname';
var $dbprefix = 'jos_';
var $mailer = 'smtp';
var $mailfrom = 'noreply@mailfrom.com';
var $fromname = 'Noreply Name';
var $sendmail = '/usr/sbin/sendmail';
var $smtpauth = '0';
var $smtpsecure = 'none';
var $smtpport = '25';
var $smtpuser = '';
var $smtppass = '';
var $smtphost = 'smtp.smtphost.com';
var $MetaAuthor = '1';
var $MetaTitle = '1';
var $lifetime = '15';
var $session_handler = 'database';
var $password = 'dbpassword';
var $sitename = 'Sitename';
var $MetaDesc = 'Joomla! - the dynamic portal engine
and content management system';
var $MetaKeys = '';
var $offline_message = 'This site is down for
maintenance. Please check back again soon.';
}
?>

 

 

Nachfolgend die wichtigsten Einträge kurz erläutert:

 

    $secret         – Zufällige Zeichenkette aus Zahlen und Buchstaben in Groß-/Kleinschrift

    $log_path      – Pfad zum log Verzeichnis

    $tmp_path     – Pfad zum tmp Verzeichnis

    $user            – Datenbankbenutzername

    $db               – Datenbankname

    $password     – Datenbankpasswort

 

Beim Vorhandensein eines Backups der Datei "configuration.php" setzen Sie bitte die Dateirechte der
Datei "configuration.php" bei der Bearbeitung auf "666".

Wenn Sie die Datei abschließend bearbeitet haben, ändern Sie die Dateirechte wieder auf 644 um
einem ungewollten Zugriff vorzubeugen.

 

Um zukünftigen Missbrauch zu vermeiden, beachten Sie bitte folgende Hinweise:

  1. Halten Sie Ihre Joomla-Installtion, sowie verwendete Plugins, stets auf einem atuellen Stand. Ab der Version 1.6 können Sie hierzu z.B. die in Joomla integrierte Update-Funktion verwenden.
  2. Setzen Sie das Schreibrecht nur für Dateien/Verzeichnisse, bei denen dies für den korrekten Betrieb von Joomla zwingend erforderlich ist.
  3. Ändern Sie in regelmäßigen Abständen die verwendeten Passwörter.

Kategorien zu diesem Artikel

Tags: Angriff, Datenbank, hack, Hacking, joomla, MySQL, Passwort

Verwandte Artikel:

Letzte Änderung der FAQ: 2013-06-14 14:31
Verfasser: Sascha Kirchhoff
Revision: 1.12


Bewertung der FAQ

Durchschnittliche Bewertung: 4.75 (12 Abstimmungen)

vollkommen überflüssig 1 2 3 4 5 sehr wertvoll

FAQs in dieser Kategorie

Tags

Wichtige FAQs


AGB | Karriere | Kontakt | Impressum