Doorzoek het forum

Trefwoord

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

× Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 3.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.

bug op de site mogelijk gehacked

08 aug 2018 10:32 08 aug 2018 11:17 door Jelle.
Heeft onderwerp gestart
bug op de site mogelijk gehacked #1
ik had de site www.minderpijn.info . ik wil dit omzetten naar www.van-nature-gezond.nl .
ik had de google authenticator draaien op minderpijn en heb deze uitgezet. toen kon ik niet meer in de backend.
door argeweb (provider) is van-nature-gezond als database aangemaakt en minderpijn.info daarin compleet overgenomen.

van-nature-gezond werkt helemaal, alleen de backend kan ik niet in.

Door Argeweb werd op vrijdag jl. minderpijn.info van internet gehaald omdat;

De onderstaande bestanden met verdachte scripts hebben wij aangetroffen.
{CAV}Unix.Trojan.Torte-1 : /home/alvoconl/domains/alvoco.nl/public_html/oud/components/com_ckforms/views/cktools/.nfs0000000005e6a29600000968 
{YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/administrator/components/com_akeeba/akeeba/assets/include.php 
{YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/administrator/components/com_jhackguard/data/scans/rules.php 
{YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/cache/eph.php 
{YARA}md5_4aa900ddd4f1848a15c61a9b7acd5035 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/cache/wp-admin.php 
{HEX}php.gzbase64.inject.452 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/libraries/fof/model/defendi.php 
{HEX}php.gzbase64.inject.452 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/media/akeeba_strapper/js/htchd.php 
{HEX}php.gzbase64.inject.452 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/plugins/system/remember/defendi.php 
{YARA}webshell_wso2_5_1_wso2_5_wso2 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/temp1-1.php 
{YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/tmvar.zip 
{YARA}md5_4aa900ddd4f1848a15c61a9b7acd5035 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/wp-single.php 
{YARA}r57shell_php_php : /home/minderpij1/domains/minderpijn.info/public_html/administrator/components/com_wemahu/libs/wemahu/db/regex_complete.wmdb

Alleen de laatste scriot heeft betrekking op mijn site.
Ik vind het allemaal heel vreemd, te meer omdat van nature gezond normaal blijft draaien en door Argeweb niet is stilgelegd. Terwijl hetzelfde script draaide al bij minderpijn.infol.
de module wemahu heb ik hernoemd . voorzover ik weet heb ik de authenticator uigtgeschakeld en daarna verwijderd met filzilla.

ik heb via php-users getracht het wachtwoord te resetten. dat lukte wel, doch ik kom niet in de backend van van-nsture-gezond.nl krijg foutmelding dat naam en wachtwoord niet kloppen of ik zou geen account hebben.

graag advies

Edit Jelle: Ik heb de code tussen codetags geplaatst, volgende keer graag zelf doen.
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer
08 aug 2018 11:53
bug op de site mogelijk gehacked #2
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Je bent er vaak niet door alleen op de aangevallen website bepaalde bestanden te hernoemen of te verwijderen.
Ga dus als volgt te werk:
  1. Zorg ervoor dat je PC Spy- en Malware vrij is.
  2. Zet een goede recente backup terug.
  3. wijzig al je wachtwoorden.
  4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
  5. Maak meteen een nieuwe backup.

Als je geen schone back-up hebt is het het handigste om alles van de server te verwijderen.
Wel eerst alle afbeeldingen en de configuration.php naar je computer halen (eventueel de hele site) en een back-up maken van je database (via phpMyAdmin).
Dan een schone installatie te doen met een nieuwe database en alle geïnstalleerde extensies en je template daar op installeren. Aanpassingen doen is nog niet nodig.
Daarna je afbeeldingen, je configuration.php en eventueel aangepaste css-bestanden uit de templatemap weer uploaden en de back-up van je database weer importeren.

Of je kunt je site op laten schonen door myjoomla.com of sucuri.net

Om weer toegang tot de back-end te krijgen, kun je via de database (phpMyAdmin) een wachtwoordreset regelen.
Hoe dat moet lees je hier:
docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/nl

Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Ik beantwoord geen vragen via PM
WoodyF4u
Moderator + Nieuwsteam
Moderator + Nieuwsteam
Berichten: 9404
Meer
10 aug 2018 19:59
Heeft onderwerp gestart
bug op de site mogelijk gehacked #3
Ik heb ernstige twijfel of mijn site gehacked is. Site en mijn pc gescand en zijn geheel schoon van malware ed.
wel had ik er een oude module op staat wehamu.
inmiddels goede backup teruggeplaatst.

ite is door de provider weer op line gezet.
Bij inloggen blijf ik de foutmelding krijgen;
"Waarschuwing ; De combinatie van gebruikersnaam en wachtwoord is niet correct of u heeft nog geen account."

Ik heb geen flauw idee hoe nu verder
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer
10 aug 2018 21:34
bug op de site mogelijk gehacked #4
Hoe heb je je wachtwoord gereset?

Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit Forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Deze afbeelding is verborgen voor gasten.
Login of registreer om deze te zien.

Astrid
Moderator + Technisch team
Moderator + Technisch team
Berichten: 32356
Meer
10 aug 2018 22:40
Heeft onderwerp gestart
bug op de site mogelijk gehacked #5
met phpadmin. via users de secretcode toegepast
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer
11 aug 2018 07:27
bug op de site mogelijk gehacked #6
Je hebt dus deze query gedraaid als ik het goed begrijp:
INSERT INTO `jos31_users`
   (`name`, `username`, `password`, `params`)
VALUES ('Administrator2', 'admin2',
    'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '');
INSERT INTO `jos31_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');
Heb je wel de tabelprefix aangepast?

Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit Forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Deze afbeelding is verborgen voor gasten.
Login of registreer om deze te zien.

Astrid
Moderator + Technisch team
Moderator + Technisch team
Berichten: 32356
Meer
12 aug 2018 11:06
Heeft onderwerp gestart
bug op de site mogelijk gehacked #7
ik heb joomla.nl een beetje doorgeploegd om kennis te vergaren omtrent jos31_users. ik kan deze in mijn site niet vinden.
de map user-usergroups is leeg
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer

Dit bericht bevat een afbeelding als bijlage.
Log in of registreer om die te bekijken

12 aug 2018 21:59 13 aug 2018 07:37 door Astrid.
bug op de site mogelijk gehacked #8
Ik begrijp ten eerste niet hoe je drie gebruikers kunt hebben met hetzelfde wachtwoord. Daarnaast accepteert Joomla geen dubbele e-mailadressen.
Heb je zelf meer aangepast aan je database?
Ik neem aan dat je met

de map user-usergroups

de tabel bedoelt? Die tabel bestaat niet.
Je moet deze tabellen hebben

Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit Forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Deze afbeelding is verborgen voor gasten.
Login of registreer om deze te zien.

Astrid
Moderator + Technisch team
Moderator + Technisch team
Berichten: 32356
Meer

Dit bericht bevat een afbeelding als bijlage.
Log in of registreer om die te bekijken

13 aug 2018 10:35
Heeft onderwerp gestart
bug op de site mogelijk gehacked #9
de tabellen bestaan natuurlijk wel, maar de tabel user_usergroups_map is leeg .

ik heb helemaal niets veranderd. wel de emailadressen veranderd.
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer
13 aug 2018 11:03
bug op de site mogelijk gehacked #10
Kijk je wel in de juiste database? Ik zie dat je twee verschillende prefixes hebt.

Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit Forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Deze afbeelding is verborgen voor gasten.
Login of registreer om deze te zien.

Astrid
Moderator + Technisch team
Moderator + Technisch team
Berichten: 32356
Meer
13 aug 2018 11:17
Heeft onderwerp gestart
bug op de site mogelijk gehacked #11
de tabellen bestaan natuurlijk wel, maar de tabel user_usergroups_map is leeg .ik heb helemaal niets veranderd. wel de emailadressen veranderd.


Ik snap de verwarring. Ik had www.minderpijn.info en wil dit omzetten naar www.van-nature-gezond.nl . Deze laatste is inmiddels aangemaakt . beide site's zijn geheel identiek. Omdat ik bij beide niet in de backend kan komen, wacht k dit nog even af. straks wordt minderpijn.info een redirect.
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer
13 aug 2018 11:50
bug op de site mogelijk gehacked #12
De verwarring zit bij jou en niet bij mij. Of je al dan niet een redirect hebt is niet relevant. Als de tabel user_usergroups_map leeg is, dan zijn de gebruikers niet gekoppeld aan de gebruikersgroepen. Kijk eens in je configuration.php met welke database en welke prefix je site is gekoppeld.

Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit Forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Deze afbeelding is verborgen voor gasten.
Login of registreer om deze te zien.

Astrid
Moderator + Technisch team
Moderator + Technisch team
Berichten: 32356
Meer
13 aug 2018 12:42 13 aug 2018 12:49 door Astrid.
Heeft onderwerp gestart
bug op de site mogelijk gehacked #13
dat is denk ik heel logisch. dit soort problemen kom ik hoop ik maar 1 x in de 5 jaar tegen.
Ik heb de config.php van van nature in een pdf gezet en bijgevoegd.
Edit Astrid: Ik heb de bijlagen verwijderd i.v.m. veiligheid.
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer
13 aug 2018 12:51 13 aug 2018 12:52 door Astrid.
bug op de site mogelijk gehacked #14
Ik heb je bijlagen verwijderd. Het is niet handig om al je gegevens openbaar hier neer te zetten. Maar ik heb wel even de prefix bekeken en die is

mwsgb_

Dus je hebt de query op de verkeerde tabellen uitgevoerd.

Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit Forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Deze afbeelding is verborgen voor gasten.
Login of registreer om deze te zien.

Astrid
Moderator + Technisch team
Moderator + Technisch team
Berichten: 32356
Meer
13 aug 2018 13:04
Heeft onderwerp gestart
bug op de site mogelijk gehacked #15
ik heb geen flauw idee waar je het over hebt . de provider heeft een backup teruggezet. ik heb verder nets veranderd oid
joopkamperman
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 27
Meer
Moderators: PeterJuliank92JelleRomke
Tijd voor maken pagina: 0.464 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie

Joomla!NL op Twitter

Joomla! 3.9.1 is op dinsdag 27 november 2018 vrijgegeven. Deze versie repareert enkele bugs en bevat daarnaast enke… https://t.co/d1mOo4mLrw

Joomla! 3.9.0 is nu beschikbaar. De 10e versie van de 3.x-series. Tevens de Privacy Tool Suite. Lees het artikel ov… https://t.co/CzhRYaCsFa

De naam Joomla!® en logo worden gebruikt onder een beperkte licentie met toestemming van Open Source Matters.
Joomlanl.nl is niet verbonden aan en is geen onderdeel van Open Source Matters, Inc, of het Joomla! project.

© 2018 - Joomla!NL | Gehost door Wned