Skip to main content

Laatste nieuws

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 3.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.
Maak altijd een backup!

opgelost cleanen van geïnfecteerde website

cleanen van geïnfecteerde website

21 jan 2016 19:45
#13
Goede avond Astrid
Deze backup die ik gescanned heb, komt van mijn host
Ik heb zelf heel mijn pc ook gescanned, en daar is verder niets op te vinden.

Ik heb dus geen idee van waar dit moet komen.
Tenzij dit op 1 of andere manier door de dubieuze account er is opgezet
  • Seppe
  • Seppe's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 367

cleanen van geïnfecteerde website

21 jan 2016 22:21
#14
Ik heb na de pc, inclusief de download/backup van de website, nogmaals gescant met Norton en Antimalware en niets meer gevonden.
De, volgens Norton, gekuiste bestanden heb ik terug online gezet, zodat ze de eventuele besmette bestanden terug konden overschrijven.

fingers crossed nu...
  • Seppe
  • Seppe's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 367

cleanen van geïnfecteerde website

21 jan 2016 22:43
#15
Het heeft niet mogen zijn...

Het spammen begint opnieuw...

#fail
  • Seppe
  • Seppe's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 367

cleanen van geïnfecteerde website

21 jan 2016 23:44 - 21 jan 2016 23:45
#16
ter info

Onderstaande melding was hetgeen ik kreeg van de server wanneer hij voor het offline gaan bezig was met spammen.
Ik heb de domeinnaam even veranderd door '*****'

The ***** account has just finished sending 1000 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/*****.bytes file, it was found that the highest sender was margery_mckinney@*****.com, at 34 emails.

The top authenticated user was *****, at 1001 emails.
This accounts for 100% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.

The most common path that the messages were sent from is /home/*****/domains/*****.be/public_html/plugins/quickicon, at 928 emails (92%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

The top sending script was /home/*****/domains/*****.be/public_html/plugins/quickicon/user.php:12, at 603 emails, (60%).


of


The ***** account has just finished sending 1000 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/*****.bytes file, it was found that the highest sender was evangelina_jennings@*****.com, at 25 emails.

The top authenticated user was *****, at 1001 emails.
This accounts for 100% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.

The most common path that the messages were sent from is /home/*****/domains/*****.be/public_html/libraries/cms/table, at 941 emails (94%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

The top sending script was /home/*****/domains/*****.be/public_html/libraries/cms/table/object.php:3, at 8742 emails, (874%).
Because the bulk of the emails have been sent by the script, please check it to confirm it has not been compromised.


En dit kreeg ik dan na de "cleanup"

The ***** account has just finished sending 1000 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/*****.bytes file, it was found that the highest sender was tasha_vaughn@*****.com, at 43 emails.

The top authenticated user was *****, at 1001 emails.
This accounts for 100% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.


The most common path that the messages were sent from is /home/*****/domains/*****.be/public_html/libraries/joomla/cache, at 971 emails (97%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

The top sending script was /home/*****/domains/*****.be/public_html/libraries/joomla/cache/model.php:2, at 1037 emails, (103%).
Because the bulk of the emails have been sent by the script, please check it to confirm it has not been compromised.

  • Seppe
  • Seppe's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 367

cleanen van geïnfecteerde website

22 jan 2016 07:58 - 22 jan 2016 07:59
#17
Dus is je backup ook niet schoon zoals al eerder aangegeven.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.
  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37554

cleanen van geïnfecteerde website

22 jan 2016 09:02 - 22 jan 2016 09:05
#18
Het beste kan je de php files scannen op de server zelf, ik weet niet of je een ssh login heb. Het probleem is dat vaak nog extra bestanden worden toegevoegd dus je kan al je joomla bestanden wel overschrijven maar dat is vaak niet de oplossing. Check je log files van je webserver, apache_log bv, daar kan je bv ook al in zien wat voor bestanden er vaker worden opgeroepen. Wat ik meestal doe met een besmette website is dat ik ze download lokaal, ik draai linux, dan de php files scannen met bv
Code:
find . -type f -name '*.php' | xargs grep -l "eval *(" --color find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color

Dan de bestanden die niet standaard onder joomla thuis horen deleten, kijk eerst nog even wie de eigenaar van de bestanden zijn, chown, want het kan net zo goed zijn dat een andere website, op een slecht beveiligde webserver, de bestanden bij jou neerzet!
Edit Astrid: Ik heb de code tussen codetags geplaatst, volgende keer graag zelf doen.
  • itzmie
  • itzmie's Profielfoto
  • Bezoeker
  • Bezoeker

cleanen van geïnfecteerde website

30 jan 2016 14:06
#19
Goede middag

De enige oplossing was de site volledig verwijderen, opnieuw installeren met alle plugins

Tot hiertoe gaat het al een paar dagen goed
  • Seppe
  • Seppe's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 367

cleanen van geïnfecteerde website

30 jan 2016 14:14
#20
Fijn dat het opgelost is.
Dank je wel voor de terugkoppeling.

Je kunt in de toekomst zelf na het terugkoppelen de topic sluiten door op de groene "Dit is de oplossing" knop te klikken.
Kijk ook hier even voor een volgende keer ;)
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.
  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37554
Moderators: JelleRomke
Tijd voor maken pagina: 0.805 seconden
Gemaakt door Kunena

Laatste forumberichten

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie