hacked by hmei7 что делать и как исправить

На прошлой неделе мы получили несколько звонков от клиентов чьи сайты были взломаны. На главной странице был размещен простой текст “Hacked by Hmei7”.
Это был шок для клиентов, но еще большим для их клиентов.
К счастью для них и для нас, это легко исправить.
Далее я расскажу, как это сделать и предотвратить в дальнейшем.

Содержание:

— Исправление
— Проверка на дополнительные файлы, оставшиеся после взлома
— Анализ и предотвращение

Исправление:

Восемь файлов потенциально затронутых от этой атаки:
/images/stories/susu.php
/images/x.txt
/tmp/x.txt
/.htaccess
/configuration.php
/index.php
/index.htm
/index.html

Этот список не окончательный. На различных сайтах он может отличаться. Взлому подвержены файлы и каталоги на которые стоит разрешение “запись”.

Для исправления и восстановления работы сайта необходимо:

  • Запишите дату создания или изменения этих файлов. Это понадобиться дальше.
  • Удалите файлы susu.php и x.txt.
  • Проверьте файлы configuration.php и index.php , чтобы увидеть изменены ли они хакером.
  • Если configuration.php или index.php был изменен, удалите их.
  • Если index.htm или index.html существует, удалите их.
  • Если ваш configuration.php файл был изменен хакером, восстановите файл из резервной копии или с нуля, если это необходимо.
  • Если ваш index.php или .htaccess файл были изменены, восстановите файлы из резервной копии.
  • Другие подозрительные файлы, которые нужно посмотреть. Удалите эти файлы, если найдены:
    000-aaz.gif
    0day.php
    c99.php
    config.root
    css.php
    EN-gt.php
    index.old.php
    lib.php
    maroc.php
    r57.php
    rc.php
    story.php
    tar.tmp
    toy.php
    web1.php
    wh.php
    Wos.php
    xxu.php
    xxx.php
    zzzzx.php

    Если у вас нет резервной копии файла configuration.php, вот пример файла. Создайте файл configuration.php и положить этот текст в файл.
    configuration.php файл должен находиться в корневом каталоге вашего сайта.


    Настройте следующие переменные, чтобы ваш сайт заработал:

    $secret — случайная последовательность строчных и прописных букв и цифр.
    $log_path — путь к каталогу журналов.
    $tmp_path — путь к TMP (временный каталог).

    $USER — имя пользователя базы данных.
    $DB — имя базы данных.
    $Password — пароль базы данных.
    Если вы не знаете значение этих параметров, их можно посмотреть в административной панели управления вашего хостинга.

    Остальную часть файла configuration.php можно заполнять вручную, или он может быть настроен более легко через “админку” сайта.
    Если вы хотите использовать в админку, не забудьте установить права 777 (RWX) на файл configuration.php.

    После внесенных изменений, когда ваш сайт полностью заработает необходимо установить права ТОЛЬКО ЧТЕНИЕ на configuration.php. Это позволит предотвратить любые нежелательные изменения в будущем.

    Проверка на дополнительные файлы, оставшиеся после взлома:

    Возможно, что хакер изменил или создал другие дополнительные файлы на вашем сервере, которые не упомянуты в статье. Было бы крайне желательно найти эти файлы, так как они могут использоваться в дальнейшем, для повторного взлома вашего сайта.

    FTP или SSH доступ может быть использован для поиска любых файлов, которые были недавно изменены. (для этого мы записывали дату создания и изменения файлов в начале статьи).

    Если у вас есть доступ SSH, следующая команда может помочь найти файлы, которые были изменены за последние 2 дня:
    find . -mtime -2 -type f

    Если у вас есть только FTP доступ, FTP-клиент может быть использован для просмотра файлов и проверки даты.

    Большинство файлов на веб сайте не изменяются очень часто.
    Ищите любые файлы, которые были недавно изменены или созданы в дату нападения.

    Так как веб сайт был взломан, в качестве меры предосторожности, вы должны сразу поменять все пароли у всех пользователей которые имеют доступ к сайту (FTP, SSH, MYSQL, “Админка”).

    Анализ и предотвращение:

    В ходе проведенного анализа механизмов взлома было установлено, что взлому подвержены сайты на системе управления Joomla.
    Взлом происходит через ошибку модуля JCE Editor, а именно через ошибку проверки безопасности при работе с gif файлами.
    Для предотвращения последующих взломов необходимо выполнить следующее:

  • Обновить Joomla и все ее компоненты до последней версии.
  • Если обновление невозможно отключить возможность работы в gif файлами в настройках компонента JCE Editor.