sites gehackt

Vorige week al melding hiervan gemaakt en dacht dat het opglost was. Nadat ik de hele vrijdag aan het zoeken ben geweest met de hoster naar waarom er zoveel emailverkeer is van twee door mij gebouwde sites kwamen wij er achter dat er een soort van mallware in zat.
de besmetten files (allemaal de index.PHP) van alle templates stond een stukje code in wat ik hieronder laat zien Nadat ik deze rommel uit die files had gehaald stopte het mailverkeer. Heb vervolgens een nieuwe backup gemaakt en de wachtwoorden voor backend en ftp veranderd. Nu echter op zondag zijn alle twee de site weer vervuild met diezelfde soort code in de index.php van de templates. Ergens zal er wel een scriptje zitten wat zorgt dat dit telkens terug komt. Iemand enig idee waar ik dat zou kunnen vinden?
Gr
Hans

Ik heb je andere draadje gesloten omdat crossposten hier verboden is. Maar zie mijn reactie #6 in dat draadje.

Sorry als dat verkeerd is gegaan, maar ik dacht toch echt dat ik een nieuw onderwerp had aangemaakt.
In dat draadje stel je voor om helemaal opnieuw te beginnen maar dat is eigenlijk geen optie. een van die twee sites zitten duizenden artikelen via VM. Is er dan geen mogelijkheid om een site te scannen en die meteen die rotzooi verwijderd?
De site waar VM in is geinstaleerd is een zakelijke de andere vrijwilligerswerk. Die wil ik eerst aanpakken. Dat helemaal opnieuw opbouwen kost veel te veel tijd. Straks raken meer sites besmet en dat wordt toch ondoenlijk op die manier. Telkens backups terug zetten die weer opnieuw besmet raken schiet niet echt op. Iemand een oplossing?

Ja, je hebt nu een nieuw onderwerp aangemaakt voor een vraag die al liep en waar je dus niet meer teruggekoppeld hebt.

Je kunt ze op laten schonen door myjoomla of sucuri .
Of mijn advies in dit draadje volgen.

Of je doet het zelf. In 99% van de gevallen zit de besmetting in de bestanden en niet in de database. Ga als volgt te werk:

- Plaats een backup van je besmetten site in een map (bv oud) op je bureaublad.
- Plaats een backup van een schone installatie inclusief alle geinstalleerde extensies in een andere map (bv nieuw) op je bureaublad
- Download WinMerge en installeer dit op je PC.
- Vergelijk de mappen met WinMerge met elkaar en los de problemen die je tegenkomt stuk voor stuk op.
Succes!

Hoi Otto,
Dat zou een idee zijn maar dat programma is er alleen voor windows, is er zoiets ook voor mac?

Hoi Hans,

Voor Apple kun je FileMerge gebruiken.

'Quick and dirty' is ook even het Apache log van je server downloaden, in Excel openen en kijken naar alle POST entries.
Vaak worden de besmette bestanden aangeroepen op deze manier. Dit is echter geen 100% garantie.

Hoi Allemaal,
Ik heb op een gehackte site RSFirewall geinstaleerd en die heeft wat rare dingen ontdekt wat misschien wel de oorzaak van het telkens opnieuw besmetten van de templates tot gevolg had. Heeft iemand enig idee van de file license.php in de root van een joomlasite te maken heeft, volgens mij is dat een bestandje wat helemaal niet thuis hoort in de root. Ik ga dat bestand in ieder geval even hernoemen en kijken wat het resultaat is. Graag jullie reactie.
Alvast bedankt
Hans

Licence.php hoort daar inderdaad niet. Wel LICENCE.TXT
Maar die vraag had je ook zelf kunnen beantwoorden door even een schone installatie ergens te plaatsen en te ontdekken dat het php-bestand er niet hoort.

Het heeft even geduurd maar ik denk dat ik de oplossing gevonden heb.
Het voert te ver om op dit forum hier helemaal verslag van te doen, maar het komt er in het kort op neer dat alleen die files verwijderen die besmet zijn niet afdoende is. Ze zullen terug keren na een paar dagen is mijn ervaring. De IP adressen moeten geblokt worden met een firewall. Op mijn site: www.hansnl.nl/joomlasites-bouwen-onderho...site-gehacked-hacked
Heb ik mijn ervaringen van de afgelopen dagen geschreven.

Dank aan alle meedenkers

Toch kan je er op wachten dat het weer mis gaat zolang je niet je sites up-to-date houd.
Je draait nog steeds op de onveilige versie van joomla!!

GNU General Public License version 2 or later; see LICENSE.txt</license><version>3.4.4</version>

Hoi Jelle,

Ja dat klopt, die site waar mijn verslagje op staat moet nog worden geupdated. Maar dat is gelukkig niet de site waar ik het over heb. die zijn inmiddels wel up to date. Maar ook dan blijven de hackers het proberen. Gezien het feit dat de firewall dit tegen houd moet je constant de zaken in de gaten houden.
Met mijn 20 sites voor verenigingen heb ik hier op dit moment mijn handen aan vol.
GR
Hans