Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 3.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.
Maak altijd een backup!

opgelost malware

malware

07 jan 2016 15:37 - 07 jan 2016 15:44
#1
Via Watchful krijg ik 3 meldingen dat een spikspinternieuwe 3.4 website mogelijk malware bevat (mogelijk door php injectie)

Weet iemand of dit inderdaad malware is? En zo ja, kan ik deze files gewoon verwijderen of is er andere actie nodig?
Op de website is Akeeba Admin Pro + RSJoomla Firewall geinstalleerd en krijg daar geen meldingen van.

Dit is de melding:

[1]
/libraries/joomla/application/daemon.php system('export HOME="' . $info . '"'), passthru('kill -9 ' . $pid), system (mostly BSD-style systems) Possible PHP Injection (Unix command)
[2]
/libraries/vendor/joomla/application/src/AbstractDaemonApplication.php system('export HOME="' . $info . '"'), passthru('kill -9 ' . $pid), system (mostly BSD-style systems) Possible PHP Injection (Unix command)
[3]
/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php popen($sendmail, 'w')), popen($sendmail, 'w')) Possible PHP Injection (Unix command)


Edit Jelle: Ik heb de melding tussen tags geplaatst, volgende keer graag zelf doen.
Laatst bewerkt 07 jan 2016 15:44 door Jelle.
  • pixelstext
  • pixelstext's berichtenfoto Heeft onderwerp gestart
  • Bekend met Joomla!NL
  • Bekend met Joomla!NL
  • Berichten: 78

malware

07 jan 2016 17:06
#2
Verwijderen lijkt me niet handig. dit zijn core Joomla-bestanden. Wat niet wil zeggen dat ze niet gehackt zijn natuurlijk.
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:
  1. Zorg ervoor dat je PC Spy- en Malware vrij is.
  2. Zet een goede recente backup terug.
  3. wijzig al je wachtwoorden.
  4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
  5. Maak meteen een nieuwe backup.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37060

malware

07 jan 2016 17:23
#3

pixelstext schreef : Via Watchful krijg ik 3 meldingen dat een spikspinternieuwe 3.4 website mogelijk malware bevat (mogelijk door php injectie)

Weet je zeker dat je spiksplinternieuwe website wel op Joomla! 3.4.8 draait?
Oudere versies zijn namelijk niet veilig, waardoor hacken mogelijk zou kunnen zijn.
Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • WoodyF4u
  • WoodyF4u's Profielfoto
  • Moderator + Nieuwsteam
  • Moderator + Nieuwsteam
  • Berichten: 11163

malware

07 jan 2016 22:11 - 07 jan 2016 22:15
#4
100% zeker 3.4.8 geinstalleerd op 24.12.2015

en daarna met SPupgrade vanaf 1.5.26 verhuisd
Laatst bewerkt 07 jan 2016 22:15 door pixelstext.
  • pixelstext
  • pixelstext's berichtenfoto Heeft onderwerp gestart
  • Bekend met Joomla!NL
  • Bekend met Joomla!NL
  • Berichten: 78

malware

08 jan 2016 08:48 - 08 jan 2016 08:49
#5
Heb inmiddels diverse andere 3.4.8 sites met Watchful Audit gescand, krijg bij allemaal dezelfde 3 meldingen.
Kan natuurlijk ook onterechte melding van Watchful zijn. Hun partner Sucuri staat erbij vermeld als oplossing om deze malware te verwijderen...
Of is het "iets" in core bestanden?
Alle web-bestanden gescand, geen virussen of malware aangetroffen. Ook niet op Mac.
Laatst bewerkt 08 jan 2016 08:49 door pixelstext.
  • pixelstext
  • pixelstext's berichtenfoto Heeft onderwerp gestart
  • Bekend met Joomla!NL
  • Bekend met Joomla!NL
  • Berichten: 78

malware

08 jan 2016 09:54
#6
Je kunt je site eerst eens scannen met sucuri . Ik zie dat watchful die ook gebruikt, en als sucuri iets aangeeft dan is het meestal serieus. Ik heb er al diverse 3.4.8 sites gescand en die geven geen meldingen, dus het zit in ieder geval niet in de core.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37060

malware

08 jan 2016 11:34 - 08 jan 2016 11:36
#7
Dank je Astrid.
Gescand bij Sucuri en die vindt niets. Bus blijkbaar gelukkig niets aan de hand.
Die scan constateert overigens wel dat ik geen Firewall heb geinstalleerd, ofschoon dat wel zo is.

Probleem in elk geval opgelost, waarvoor dank. [OPGELOST]
Laatst bewerkt 08 jan 2016 11:36 door pixelstext.
  • pixelstext
  • pixelstext's berichtenfoto Heeft onderwerp gestart
  • Bekend met Joomla!NL
  • Bekend met Joomla!NL
  • Berichten: 78
Moderators: PeterJuliank92JelleRomke
Tijd voor maken pagina: 1.466 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie