opgelost eval(base64_decode met een berg onleesbare code in mn index.

Ik werd net door een klant gebeld. is offline werd me verteld.
Ik kon er alleen nog via ftp in en zag in de index na <?php eval(base64_decode met en hele berg code.
Ook staan er in de root bestanden met de naam " file.php en files.php"
Ik heb deze week nog de update naar de laatste Joomla gedaan.
Vanmorgen kon de klant de site nog gewoon benaderen en mee werken.
In dit geval heeft de klant de kalender bijgewerkt.

Wanner de site nu wordt benaderd verschijnt er een bericht:
Weet iemand iets meer hier van? Ik ben nu de site aan het downloaden en ga zo de database ophalen. Voor zoals het er nu uitziet moet ik de hele webpagina opnieuw schrijven @vreselijk
Edit Astrid: Ik heb je link tussen tags geplaatst voor de veiligheid van de andere leden.

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc (en/of bij je klant) zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Hoi thanks voor het antwoord.
Voor de meeste van de aangeboden oplossingen is er geen kans ze uit te voeren. Ik kan er niet meer in. Dus ook geen backup maken of terug zetten en wachtwoorden wijzigen. En de laatste update had ik zaterdag al uitgevoerd.
Wel ga ik de klant vragen met de laptop langs te komen. Kennelijk zit daar iets in,,,,

Wel enorm balen dit

PS kan je mij hierover nog meer info geven ? wat is dr nou precies gebeurd?
Edit Astrid: Ik heb ongeoorloofde tekst verwijderd.

Dus ook geen backup maken of terug zetten

Een backup moet je ook regelmatig maken en niet als het kalf al verdronken is.
De snelste manier om je site weer online te krijgen is om alles te downloaden naar je computer. Je hele rootmap leeg te maken, een schone Joomla 3.4.7 te installeren met alle extensies (bij voorkeur met een eigen database). Als je geen aparte database aan kunt maken, dan moet je ook eerst je bestaande database exporteren. Kan sowieso geen kwaad om dat toch te doen overigens.
Dan al je afbeeldingen die je lokaal hebt opgeslagen te scannen op malware en die plus de configuration.php terug te zetten naar je server.

Beste Astrid,


Ik heb eerder backups gemaakt. Ben nu bezig met de database en dan jou raad opvolgen en kijken of het dan goedkomt.

Heeft het eigenlijk nog zin te zoeken naar: het uitzetten via ftp benadering van de pagina compressie zlib?

de melding beschrijft :

misschien als ik het bestand vinden kan en de pagina compressie uitschakel kan ik weer de admin kant benaderen?

Vroeg ik me daarnet hard op af,,

Je kunt het proberen, maar dan zou dus dit in je configuration.php moeten staan: maar gezien je oorspronkelijke vraag denk ik dat er veel meer aan de hand is.

Helaas, dat zorgde er niet voor dat de pagina weer werd getoond.

farefox en chromium melden beide het zelfde zoals in de beschreven melding

De Midori browser toont geen melding maar toont enkel wartaal

Zie afbeelding. Vanavond ontvang ik de laptop van de klant en zal hem scannen.
Ik heb een backup van vorige maand en desnoods schrijf ik de pagina opnieuw.
De pagina is geupdate naar de laatste versie van alles. ik werk de site best vaak bij of controleer hem.
Daarom ben ik ZO verbaast dat er uberhaubt iets met de website aan de hand is.
Later werk ik dit bericht bij met de laptop uitslag. Daarna kan ik vast stellen dat door een virus of malware van de laptop de Joomla website verknipt is geraakt. Nu eerst even de pijn wegspoelen met sterke koffie.

De website is weer hersteld en de laptop van de klant ontdaan van de nodige malware ( conduit, ask en een paar met ingewikkelde namen )
Ik heb gisteren nog (te lang ) geprobeerd de site te herstellen vanaf de ftp kant wat niet lukte. Het enige dat geweldig werkte was de backup terug zetten met kickstart.php. Super tooltje!
Nu draait alles weer naar behoren en het agenda "boek online" onderdeel kon ik vullen met info uit de database.

Conclusie: probeer het niet te maken, gooi de site leeg en plaats de backup terug.

bedankt voor de tips!