Wie breekt er nu eigenlijk in op een Joomla-webstek?

Onze onder Joomla (3.X, nieuwste update) draaiende website < www.ingasteren.nl > ondervindt de laatste drie maanden regelmatig aanvallen van virussen. Wij zoeken naar de oorzaak. Welke van de vier mogelijkheden zijn waarschijnlijk.

1. Een kwaadwillende breekt van buitenaf bewust in op onze webstek
2. De PC van een reguliere bezoeker plaatst het virus gedurende een bezoek terwijl die PC-eigenaar zich geen kwaad bewust is
3. De PC van een van de 3 redacteuren (met beperkte toegang tot de backend) plaatst het virus terwijl die redacteur zich van geen kwaad bewust is
4. De PC van een van de 2 superadmins (met volledige toegang tot de backend plaatst het virus terwijl die superadmin zich van geen kwaad bewust is

Met belangstelling wacht ik de antwoorden af.

John.

Johnenben

Namens het Joomla!NL team heet ik je van harte welkom op dit forum.

Dat kunnen met name 1,3 en 4 zijn. Ook kan het via je hosting als je op een shared-server zit en de hosting heeft zijn zaakjes niet goed voor elkaar. Feit blijft dat het heel vervelend is.
Zorg in ieder geval dat diegenen die in de back-end kunnen hun pc/laptop e.d. schoon zijn. Zorg voor goede en regelmatige back-ups (Bijv. Akeeba-backup).
Er zijn nog extra beveiligingstools zoals Admin-tools pro of RSfirewall.
Wie en waar ze vandaan komen is altijd een vraag, je zou de logs van de server bijvoorbeeld eens na kunnen kijken.
Als een website gehackt is, is dit in eerste instantie ons vaste procede:

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

John,
Namens het Joomla!NL team heet ik je van harte welkom op dit forum.

Alle vier de door jou beschreven opties zijn een mogelijke oorzaak van je problemen.
Het is dus van belang dat je al die mogelijke oorzaken wegneemt.
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Belangrijk is dus dat je bovengenoemde acties uitvoert en tevens je website onderzoekt op mogelijke malware of besmette bestanden.
Dat kun je onder andere doen via: sitecheck.sucuri.net/

Edit: vrijwel gelijk met Romke het zelfde antwoord geplaatst.

Dag WoodyF4U en Romke,

Dank voor het snelle antwoord.

Met het terugzetten van een goede en recente backup en het wijzigen van wachtwoorden; bedoelen jullie
... die van de PC
... of die van de website?

John.

Alle wachtwoorden van je website. Dus van alle gebruikers met meer rechten dan geregistreerd, database en ftp.
Maar het belangrijkste is om eerst alle computers van gebruikers met meer rechten dan geregistreerd te scannen op virussen/malware.

Dag Forum,

Wij zijn van plan alle bestanden van de server te verwijderen maar zullen de database laten staan. Daarna willen we de meest recente Joomla-3.X installeren (zeg maar: een clean install). Zonder modules en zonder extensies. Dan de site "kaal" laten draaien: in de standaard-opmaak, dus zonder de BUITEN Joomla-3.X om geïnstalleerde extensies/modules . En vervolgens afwachten of er zich weer een virus zich nestelt in de website.

Vervolgens willen we na enkele weken de extensies en modules weer installeren.

Vraag 1: loopt de website vast omdat er wel extensie-/modulegegevens in de database staan maar de desbetreffende extensies/modules ontbreken??
Vraag 2: zo nee: worden de extensie-/modulegegevens uit de database verwijderd omdat de desbetreffende extensies/modules ontbreken?
Vraag 3: vullen de extensies en modules zich dan weer met de nog steeds aanwezige extensie-/modulegegevens uit de database?

Met vriendelijke groeten,

John van der Kaap.
Wij zijn dit wellicht van plan omdat de backup die we hebben wellicht geïnfecteerd is.
Edit Astrid: Ik heb je reacties samengevoegd.

Vraag 1: Nee
Vraag 2: Nee
Vraag 3: Nee
Mits je database natuurlijk niet geïnfecteerd is. De kans is zeer klein, maar wel aanwezig.
En als je toch een kale installatie doet, kan je net zo goed direct je extensies installeren. Waarbij je dus wel moet opletten dat je ze download van de site van de makers en dat je van elke extensie de laatste versie gebruikt.
Je kunt ook altijd eerst nog even de VEL raadplegen.