Wie sich herausstellt, hätte sich der Onkel viel Zeit erspart, hätte er seine Joomlainstallation rechtzeitig gepatcht. Joomla 1.5 hatte nämlich einen unglaublich banalen Bug, der es jedem erlaubt, das Adminstrator-Passwort zurückzusetzen und sich damit Zugang zu den Administrationsseiten zu verschaffen.

Das hat so ein Gesindel aus der Türkei schamlos ausgenutzt. Am 24. Oktober 2008 wurde Onkel.us kompromittiert und unbrauchbar gemacht. Die Inhalte waren zwar fast alle noch da, aber trotzdem war die Joomla-Installation nicht mehr zu retten. Hier sind die Daten des freundlichen Besuchers:

Date: Fri, 24 Oct 08 Visitor ID: 20 Country: Turkey City: Istanbul IP Address: 88.247.180.226 Browser: Explorer 6 Platform: Windows XP Language: Turkish Actions: 1

Es gab davor auch Besuche von anderen IP Addressen, aber 88.247.180.226 hat eindeutig am meisten Schaden hinterlassen. Der Trick ist dabei immer der selbe:

Eine Google-Suche nach „.us/index.php?option=com_user“ listed offene Sites. Danach

GET /index.php?option=com_user&view=remind

wird das Passwort rückgesetzt, wahlweise irgenein Code eingegeben

POST /index.php?option=com_user&task=confirmreset

Und schon kann man als Administrator einloggen:

GET /index.php?option=com_user&view=login POST /index.php?option=com_user&task=completereset

Mittlerweile läuft hier Wordpress und da geht das nicht mehr.