hacking - spam

Beste

Ik kreeg een mail van iemand dat mijn website waarschijnlijk was gehacked en wordt gebruikt om spam te versturen.
Ik ben toen onmiddellijk gaan kijken, en mijn website blijkt normaal te werken.
Ik zag echter wel dat er een aantal extra directories waren toegevoegd, steeds bestaande uit een aantal tekens (bijv. 9qxzww5zetr) met daarin een aantal bestanden. In een aantal directories stonden reclame-afbeeldingen
Ik heb die toen gewist, maar ik merk dat er dagelijks wel 1 of twee nieuwe dergelijke directories worden aangemaakt (die ik steeds opnieuw wis).

Ik heb de ganse website gedownload, en grondig gescand (avast-anit virus). Er wordt echter niets gevonden.


Hoe kan ik dit probleem oplossen ?
(noot, geen idee of het van belang is: ik heb een aantal websites met verschillende domeinnaam op dezelfde host staan. In deze andere domeinen/websites komen deze directories niet voor ... kan een script onder de ene website staan, en directories toevoegen op de andere?) ?

Mvg
Diederik

Het verwijderen van bestanden is meestal niet voldoende omdat de kwaadaardige code zich waarschijnlijk in een ander bestand heeft genesteld. En virusscanners detecteren dit vaak niet.
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit of doordat je verouderde of illegale extensies gebruikt.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Als je geen schone backup hebt is het het handigste om alles van de server te verwijderen. Wel eerst alle afbeeldingen en de configuration.php naar je computer halen (eventueel de hele site). Dan een schone installatie te doen met een nieuwe database en alle geïnstalleerde extensies. Daarna je afbeeldingen en je configuration.php weer uploaden.

Of je kunt je site op laten schonen door myjoomla.com of sucuri.net

Je kan beter binnen de php bestanden zoeken naar code. Als je ssh toegang heb tot je website kijk je eerst wat voor bestanden er het laatst toegevoegd zijn met:

En dan kan je bv met deze regels ook checken of er code in voor komt dat er niet thuis hoort. Let wel op dat in veel standaard php pagina van joomla ook base64 voorkomt etc.

Check anders ook even wie de eigenaar van de bestanden/directorys zijn. Het kan dus echt wel zo zijn dat een andere besmette website op dezelfde server ze bij jou neerzet.

Pas maandag heb ik toegang tot het internet. Ik probeer dan alles eens uit en laat hier iets weten.

Veel dank.
Diederik

Beste

1) Ik heb helaas geen SSH toegang (webhost is servage.net).
Ik heb alles gedownload, moet ik dan gewoon naar de tekstreeksen zoeken in de bestanden ?

De eerste code vind ik in 48 bestanden terug.
De tweede code vind ik alvast terug in de bestanden

media\editors\codemirror\mode\php.js

en

media\editors\codemirror\mode\php.min.js

De derde vind ik nergens terug.
Hoe kan ik weten of ze erbij is gevoegd of er thuishoort ?

2) Ik heb gemerkt dat in verschillende mappen een bestand index.html staat, dat een andere datum heeft dan de andere bestanden in die map.
Alles index.html bestanden in de verschillende mappen hebben wel dezelfde datum (06/04). Dat Index bestand is leeg.
Ik vind ook in oudere backups (maar die zijn misschien ook geïnfecteerd) de index bestanden terug.
Klopt het dat in veel mappen een (leeg) index.html bestand staat ?
En de schrijfcode (?) staat op 644.

3) Ik zou graag de data controleren waarop bestanden gewijzigd zijn. Als ik met Filezilla alles download, is de datum van aanmaken/wijzigen allemaal gelijk aan de datum van downloaden. Kan dat opgelost worden met een ander programma ?

4) Welke bestanden worden bij een update bewerkt ?
Sommige bestanden in de root hebben een recentere datum, zoals htaccess.txt; index.php; license.txt; readme.txt, robots.txt.dist; web.config.txt .

Mvg
Diederik
Edit Astrid: Ik heb de code tussen codetags geplaatst, volgende keer graag zelf doen.

Filezilla heeft ook een zoekfunctie om te zoeken op datum. Maar de vraag is of dat een oplossing is. Hackers zijn vaak ook zo slim dat ze een oudere datum meegeven aan een bestand. Het is echt het beste om met een schone installatie opnieuw te beginnen.

Beste

Ik begin met een nieuwe installatie, zoals Astrid vermeldde.
IS er ergens een wiki (even gezocht, maar waarschijnlijk niet met juiste trefwoorden) waar in staat hoe ik dit juist moet doen ?
Ik heb een backup van de database.
(ik zou vooral graag weten hoe ik het aanpak met de database. Starten met een nieuwe database en dan de oude importeren, of lukt het door gewoon van de oude te vertrekken).


Mvg
Diederik D'Hert

Starten met een nieuwe database en als je alle extensies hebt geinstalleerd je oude database weer importeren. Let wel op dat je exact dezelfde versie installeert als je oorspronkelijke site.