opgelost cleanen van geïnfecteerde website

Goede avond

Op dit moment is een website dat ik gemaakt heb offline gegaan omdat deze geweldig is beginnen spammen.
Om 1 of andere reden werden er dagelijks 1000 emails verzonden. In de berichten die ik kon zien in mijn DirectAdmin-scherm van de server ging het over het bestand "oauth". Het juiste path kan ik niet meer achterhalen, want de berichten zijn al weg. ik weet enkel dat het zich bevond in de administrator map.

Van de mensen die de server beheren krijg ik te horen dat het de plugin\quickicons onder andere is die zwaar aan het spammen is.
Dit zijn echter, voor zover ik kan zien, de knoppen die op het startscherm komen in de back-end.

De site willen ze pas terug activeren, de moment dat ik er gelijk aan begin te werken om deze te cleanen.
Ik heb echter totaal geen idee hoe daar aan te beginnen.
Online heb ik ook al gezocht, maar daar krijg je zo veel verschillende zaken dat ik door het bos de bomen niet meer zie.

Hopelijk is er hier iemand met wat ervaring op dat gebied, die me een beetje op weg kan en wil helpen.


alvast bedankt

groetjes
Seppe

Hallo,

Om het zelf te gaan doen is een hele operatie.
Je kan bij Sucuri of bij MyJoomla tegen betaling aanvragen dat zij je website weer virusvrij maken.

Onderstaande raden wij altijd aan.
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Verder kun je de website zelf als volgt controleren:
Installeer op een testplaats een schone Joomla!-versie gelijk aan de website die nu draait en installeer daarop ook door jou gebruikte extensies.
En vervolgens vergelijk je die met Winmerge met de bestanden van je live site.
Ook kun je alle bestanden naar je PC halen en lokaal scannen met een goede virusscanner, maar dat geeft nooit een 100% goed beeld.

En mocht het niet zelf lukken, dan moet je het door een externe partij laten doen.
Er zijn heel veel scanners te vinden, maar er is er geen een die 100% zekerheid biedt.

Goede avond Jelle
Ik heb even mijn antwoorden in kleur gezet

Alvast bedankt

Jelle schreef : Hallo,

Om het zelf te gaan doen is een hele operatie.
Je kan bij Sucuri of bij MyJoomla tegen betaling aanvragen dat zij je website weer virusvrij maken.

Onderstaande raden wij altijd aan.
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.

Mijn pc wordt op regelmatige tijdstippen gescanned en is OK.
Ik ben de enige die op de website werkt, buiten een bedrijf dat SEO-campagnes doet, dus het lijkt me sterk dat zij hiervan last hebben

Zet een goede recente backup terug.

De enige backup die ik heb is die van op de server

wijzig al je wachtwoorden.

ok, dat is zo gefixt

update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.

Dit was het laatste dat ik op de website gedaan heb, voor de miserie begon

Maak meteen een nieuwe backup.

Will do

Goed bezig
Lees de opmerkingen in mijn reactie ook nog even door, omdat je met deze eerste stappen wel beter beveiligd bent, maar je website nog steeds niet schoon is.

Goede avond Woody
Was de WinMerge al aan het downloaden sé

Het probleem is alleen dat ik moet gaan zoeken naar welke extensies dit extern bureau allemaal heeft geïnstalleerd.
maar dat zal ik de extensionmanager wel kunnen vinden aan de hand van het ID nu

OK. Dan wens ik je daarmee succes.
Laat je nog even weten of het naar wens is verlopen?

Nu had ik zo een idee

ik weet uiteraard niet of dit volledig zou kunnen kloppen.
Maar ik heb nog een andere site met dezelfde plugins, waar geen problemen mee zijn;

kan ik die bestanden van de ene site niet naar de andere site zetten door middel van FTP?

ik spreek dan bvb over die quickicons van de JCEeditor enz.
Of is dat een beetje kort door de bocht?

Ja, dat is kort door de bocht. Je kunt wel je hele root van de besmette site leeghalen (behalve de configuration.php) en dan alle bestanden van de niet besmette site daar neerzetten. Enige waar je naar moet kijken is dan de afbeeldingen die gebruikt worden in de besmette site. (mappen images en media meestal).

Goede avond

Zonet is de backup van de website terug gezet, en kon ik inloggen.

Ik heb gemerkt dat de "allow user registration" nog op YES stond.
Deze is dus gelijk afgezet.

Er had zich ondertussen al een nieuwe user aangemeld met een zeer dubieuze naam.
Dit gaat waarschijnlijk het spamaccount zijn geweest.

De user is gedeleet, en mijn SuperUser account is hernoemd + er een sterker wachtwoord opgezet.

Op dit moment is de website aan het binnenlopen via FTP, dan kunnen we dit ook nog eens gaan scannen

Zowel voor het binnenhalen van de website via FTP, als na het binnenhalen van de website heel de pc gescant met "malwarebytes".
Zowel voor als na niets te vinden.

Ik heb de downloadmap van de website ook eens gescant met Norton, en daar geeft hij een beveiligingsrisico op banners.php (php.filesman)

Ik ben andere Joomlasites eens gaan vergelijken, en daar is die mapstructuur onder \administrator\components\com_banners niet te vinden


EDIT:

Discovered: November 24, 2015
Updated: November 26, 2015 12:23:41 PM
Type: Trojan
Infection Length: Varies

Systems Affected: Linux, Mac OS X, Solaris, Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

PHP.Filesman is a PHP Trojan horse that opens a back door and allows an attacker to remotely control the compromised computer.

Edit Astrid: Ik heb de melding tussen tags geplaatst, volgende keer graag zelf doen.

Dan is je backup dus ook niet schoon, als dit tenminste je backup is die je gescand hebt. En grote kans dat dat virus dus op een van de gebruikte computers zit.