Skip to main content

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 3.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.
Maak altijd een backup!

bug op de site mogelijk gehacked

bug op de site mogelijk gehacked

08 aug 2018 10:32 - 08 aug 2018 11:17
#1
ik had de site www.minderpijn.info . ik wil dit omzetten naar www.van-nature-gezond.nl .
ik had de google authenticator draaien op minderpijn en heb deze uitgezet. toen kon ik niet meer in de backend.
door argeweb (provider) is van-nature-gezond als database aangemaakt en minderpijn.info daarin compleet overgenomen.

van-nature-gezond werkt helemaal, alleen de backend kan ik niet in.

Door Argeweb werd op vrijdag jl. minderpijn.info van internet gehaald omdat;

De onderstaande bestanden met verdachte scripts hebben wij aangetroffen.
Code:
{CAV}Unix.Trojan.Torte-1 : /home/alvoconl/domains/alvoco.nl/public_html/oud/components/com_ckforms/views/cktools/.nfs0000000005e6a29600000968 {YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/administrator/components/com_akeeba/akeeba/assets/include.php {YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/administrator/components/com_jhackguard/data/scans/rules.php {YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/cache/eph.php {YARA}md5_4aa900ddd4f1848a15c61a9b7acd5035 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/cache/wp-admin.php {HEX}php.gzbase64.inject.452 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/libraries/fof/model/defendi.php {HEX}php.gzbase64.inject.452 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/media/akeeba_strapper/js/htchd.php {HEX}php.gzbase64.inject.452 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/plugins/system/remember/defendi.php {YARA}webshell_wso2_5_1_wso2_5_wso2 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/temp1-1.php {YARA}eval_post : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/tmvar.zip {YARA}md5_4aa900ddd4f1848a15c61a9b7acd5035 : /home/logopedie3/domains/logopediepraktijkleiderdorp.nl/public_html/wp-single.php {YARA}r57shell_php_php : /home/minderpij1/domains/minderpijn.info/public_html/administrator/components/com_wemahu/libs/wemahu/db/regex_complete.wmdb

Alleen de laatste scriot heeft betrekking op mijn site.
Ik vind het allemaal heel vreemd, te meer omdat van nature gezond normaal blijft draaien en door Argeweb niet is stilgelegd. Terwijl hetzelfde script draaide al bij minderpijn.infol.
de module wemahu heb ik hernoemd . voorzover ik weet heb ik de authenticator uigtgeschakeld en daarna verwijderd met filzilla.

ik heb via php-users getracht het wachtwoord te resetten. dat lukte wel, doch ik kom niet in de backend van van-nsture-gezond.nl krijg foutmelding dat naam en wachtwoord niet kloppen of ik zou geen account hebben.

graag advies

Edit Jelle: Ik heb de code tussen codetags geplaatst, volgende keer graag zelf doen.
Laatst bewerkt 08 aug 2018 11:17 door Jelle.
  • joopkamperman
  • joopkamperman's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 56

bug op de site mogelijk gehacked

08 aug 2018 11:53
#2
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Je bent er vaak niet door alleen op de aangevallen website bepaalde bestanden te hernoemen of te verwijderen.
Ga dus als volgt te werk:
  1. Zorg ervoor dat je PC Spy- en Malware vrij is.
  2. Zet een goede recente backup terug.
  3. wijzig al je wachtwoorden.
  4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
  5. Maak meteen een nieuwe backup.

Als je geen schone back-up hebt is het het handigste om alles van de server te verwijderen.
Wel eerst alle afbeeldingen en de configuration.php naar je computer halen (eventueel de hele site) en een back-up maken van je database (via phpMyAdmin).
Dan een schone installatie te doen met een nieuwe database en alle geïnstalleerde extensies en je template daar op installeren. Aanpassingen doen is nog niet nodig.
Daarna je afbeeldingen, je configuration.php en eventueel aangepaste css-bestanden uit de templatemap weer uploaden en de back-up van je database weer importeren.

Of je kunt je site op laten schonen door myjoomla.com of sucuri.net

Om weer toegang tot de back-end te krijgen, kun je via de database (phpMyAdmin) een wachtwoordreset regelen.
Hoe dat moet lees je hier:
docs.joomla.org/How_do_you_recover_or_re...admin_password%3F/nl
Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • WoodyF4u
  • WoodyF4u's Profielfoto
  • Moderator + Nieuwsteam
  • Moderator + Nieuwsteam
  • Berichten: 11170

bug op de site mogelijk gehacked

10 aug 2018 19:59
#3
Ik heb ernstige twijfel of mijn site gehacked is. Site en mijn pc gescand en zijn geheel schoon van malware ed.
wel had ik er een oude module op staat wehamu.
inmiddels goede backup teruggeplaatst.

ite is door de provider weer op line gezet.
Bij inloggen blijf ik de foutmelding krijgen;
"Waarschuwing ; De combinatie van gebruikersnaam en wachtwoord is niet correct of u heeft nog geen account."

Ik heb geen flauw idee hoe nu verder
  • joopkamperman
  • joopkamperman's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 56

bug op de site mogelijk gehacked

10 aug 2018 21:34
#4
Hoe heb je je wachtwoord gereset?
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37115

bug op de site mogelijk gehacked

10 aug 2018 22:40
#5
met phpadmin. via users de secretcode toegepast
  • joopkamperman
  • joopkamperman's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 56

bug op de site mogelijk gehacked

11 aug 2018 07:27
#6
Je hebt dus deze query gedraaid als ik het goed begrijp:
Code:
INSERT INTO `jos31_users` (`name`, `username`, `password`, `params`) VALUES ('Administrator2', 'admin2', 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', ''); INSERT INTO `jos31_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');
Heb je wel de tabelprefix aangepast?
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37115

bug op de site mogelijk gehacked

12 aug 2018 11:06
#7
ik heb joomla.nl een beetje doorgeploegd om kennis te vergaren omtrent jos31_users. ik kan deze in mijn site niet vinden.
de map user-usergroups is leeg

Dit bericht bevat een afbeelding als bijlage.
Log in of registreer om die te bekijken

  • joopkamperman
  • joopkamperman's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 56

bug op de site mogelijk gehacked

12 aug 2018 21:59 - 13 aug 2018 07:37
#8
Ik begrijp ten eerste niet hoe je drie gebruikers kunt hebben met hetzelfde wachtwoord. Daarnaast accepteert Joomla geen dubbele e-mailadressen.
Heb je zelf meer aangepast aan je database?
Ik neem aan dat je met

de map user-usergroups

de tabel bedoelt? Die tabel bestaat niet.
Je moet deze tabellen hebben
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Dit bericht bevat een afbeelding als bijlage.
Log in of registreer om die te bekijken

Laatst bewerkt 13 aug 2018 07:37 door Astrid.
  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37115

bug op de site mogelijk gehacked

13 aug 2018 10:35
#9
de tabellen bestaan natuurlijk wel, maar de tabel user_usergroups_map is leeg .

ik heb helemaal niets veranderd. wel de emailadressen veranderd.
  • joopkamperman
  • joopkamperman's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 56

bug op de site mogelijk gehacked

13 aug 2018 11:03
#10
Kijk je wel in de juiste database? Ik zie dat je twee verschillende prefixes hebt.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37115

bug op de site mogelijk gehacked

13 aug 2018 11:17
#11
de tabellen bestaan natuurlijk wel, maar de tabel user_usergroups_map is leeg .ik heb helemaal niets veranderd. wel de emailadressen veranderd.


Ik snap de verwarring. Ik had www.minderpijn.info en wil dit omzetten naar www.van-nature-gezond.nl . Deze laatste is inmiddels aangemaakt . beide site's zijn geheel identiek. Omdat ik bij beide niet in de backend kan komen, wacht k dit nog even af. straks wordt minderpijn.info een redirect.
  • joopkamperman
  • joopkamperman's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 56

bug op de site mogelijk gehacked

13 aug 2018 11:50
#12
De verwarring zit bij jou en niet bij mij. Of je al dan niet een redirect hebt is niet relevant. Als de tabel user_usergroups_map leeg is, dan zijn de gebruikers niet gekoppeld aan de gebruikersgroepen. Kijk eens in je configuration.php met welke database en welke prefix je site is gekoppeld.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37115
Moderators: PeterJuliank92JelleRomke
Tijd voor maken pagina: 0.883 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie