Site gehakt? plug.php met eval(base64_decode

Hallo,

Mijn zwager's site is gehackt. Omdat ik iets meer verstand van dit soort zaken heb, ben ik gaan kijken wat er aan de had is. Ik ben abslouut geen joomla expert, heb jaren geleden wel gestoeid met php/mysql en dergelijken. Ben al geruime tijd niet meer werkzaam in IT.

In de root van de website staat sinds anderhalve maand het bestand plug.php. Is dit een normaal bestand voor joomla installaties? ik denk zelf van niet. In het kort de inhoud: , en dan een hele lange string.

Als ik de string decodeer, met bijvoorbeeld www.base64decode.org/ , dan komt daar weer een lange tekst uit.
In die gedecodeerde tekst zijn hier en daar brokken php of andere code te vinden. Onder andere verontrustende termen als reg.key, maar ook css code, extra encryptie en andere zaken. Zie ook het getal 777 staan.

Vraag is dus of dit bestand normaal is bij joomla installaties, en wat te doen als dit inderdaad de hack is.

Groet,
Pieter

Hallo Ppieter,
Namens het Joomla!NL team heet ik je van harte welkom op dit forum.

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Let op het kan ook zijn dat er meerdere bestanden geinfecteerd en/of toegevoegd aan je site.
Mocht je geen recente schone back-up meer hebben, kun je eventueel je site schoon laten maken door bijv. sucuri.net of myjoomla.com

Romke, dank voor je antwoord.
Klopt het dat het bestand plug.php bij een normale installatie van joomla 3.4 niet voorkomt?
Groet,
Pieter

Het komt in ieder geval niet in de root voor en ik vermoed verder ook nergens, maar dat zou ik zelf ook moeten controleren.

Wie is de eigenaar van het bestand, kan je dat controleren? Voor de rest als dit bestand daar al is neergezet moet je rekening houden met meer rommel. Als je technisch ben aangelegd zou ik met ssh inloggen en kijken wat voor bestanden er de laatste weken zijn toegevoegd of vernieuwd en daar kan je dan weer aan opmaken of het hack bestanden zijn. Als je hulp nodig heb let me know.

Helaas geen ssh.
Ik zie inderdaad op meerdere plekken dit soort code terug komen.
Het lijkt me dat de ftp account (geen sftp) onderschept is.
Dank voor je aanbod.
Is dit soort hacks gebruikelijk op joomla websites? Is er iets in de opzet van joomla dat dit soort hacks makkelijk maakt, of is het echt het onderscheppen of brute forcen van de ftp account?

De kans is groter dat de computer van de super user een virus heeft of dat er een onveilige extensie is gebruikt of dat er sprake is van een verouderde Joomla-versie.

brute force ftp kan, maar dat zou je in de log files moeten terugvinden. Andere opties zijn illegale componenten met vaak als hackscripts bijgeleverd, een niet geupdate compontent waarbij het uploaden van bestanden mogelijk is, kan bestand zijn die phpcode bevat maar als image wordt geupload en daarna wordt gerenamed bv.

Oplossing is open een subdomein, installeer alles opnieuw met nieuwe database, dan verwijder je de bestanden van je gehackte website, niet je configuration.php niet je image map en upload deze naar je huidige website. Download voor de zekerheid je huidige website of backup met tar.gz zodat er niks verloren gaat.

Juist. Dat betekent dat er via php bestanden zijn geupload of aangemaakt.
Bedankt voor de opheldering.

Dank voor het advies!

Is je vraag zo voldoende beantwoord en kunnen we dit draadje sluiten?