Site gehackt

Mijn site is gehakt, helaas staan er nog 6 besmette files in. Via onderstaan script zijn ze binnengekomen.
Is er iemand bekend dat er weer een lek zit in Joomla, site is bijgewerkt naar de nieuwste versie.
Kan iemand mij helpen de besmette files te bekijken.
Onderstaand staan de logfiles deze zijn geruikt om binnen te komen.
Deze logfiles heb ik van de webbeheerder gekregen.
de domeinnaam heb ik even aangepast naar xxxx

94.242.222.40 - - [15/May/2016:20:19:10 +0200] "POST /administrator/index.php?option=com_installer&view=install HTTP/1.1" 303 452 " xxxx.nl/administrator/index.php?option=com_installer " "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"



94.242.222.40 - - [15/May/2016:20:19:11 +0200] "GET /administrator/index.php?option=com_installer&view=install HTTP/1.1" 200 9175 " xxxx.nl/administrator/index.php?option=com_installer " "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

94.242.222.40 - - [15/May/2016:20:19:12 +0200] "GET /administrator/templates/isis/css/template.css?d4e72a9d7b93fc3981a333e0ba093140 HTTP/1.1" 200 27921 " xxxx.nl/administrator/index.php?option=c...staller&view=install " "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

94.242.222.40 - - [15/May/2016:20:19:12 +0200] "GET /administrator/templates/isis/js/template.js?d4e72a9d7b93fc3981a333e0ba093140 HTTP/1.1" 200 2475 " xxxx.nl/administrator/index.php?option=c...staller&view=install " "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

94.242.222.40 - - [15/May/2016:20:19:21 +0200] "GET /modules/mod_system/mod_system.php HTTP/1.1" 200 334 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

Edit Jelle: Ik heb de meldingen tussen tags geplaatst, volgende keer graag zelf doen.

Het verwijderen van bestanden is meestal niet voldoende omdat de kwaadaardige code zich waarschijnlijk in een ander bestand heeft genesteld. En virusscanners detecteren dit vaak niet.
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit of doordat je verouderde of illegale extensies gebruikt.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Als je geen schone backup hebt is het het handigste om alles van de server te verwijderen. Wel eerst alle afbeeldingen en de configuration.php naar je computer halen (eventueel de hele site) en een backup maken van je database. Dan een schone installatie te doen met een nieuwe database en alle geïnstalleerde extensies. Daarna je afbeeldingen en je configuration.php weer uploaden en de backup van je database weer importeren.

Of je kunt je site op laten schonen door myjoomla.com of sucuri.net

Pc is niet besmet, is gescand, passworden zijn veranderd.
Volgens de hooster zijn ze binnen gekomen via een script er is geen ftp toegang geweest.
Ik denk dat er een lek zit

Dan nog blijft het feit dat je site gehackt is. Oorzaak kan mogelijk ook een verouderde of besmette extensie zijn.

Kan het geen lek zijn net zoals de vorige keer het lijkt wel of ze via een script zijn binnengekomen.
Zie script
Wat ik wel merk dat er geprobeerd wordt accounts aan te maken, ik dat nu uitgezet. wel jammer nu kunnen klanten niet meer registreren.

Er zal best ergens een lek zijn, maar niet in Joomla zelf in ieder geval.

Hoi Robert,

Als je wilt weten hoe men binnen gekomen is, dan zul je de log van je server door moeten spitten.
Daarbij is het handig als je de datum en het tijdstip weet wanneer het gebeurd zou kunnen zijn.
Dit kun je herleiden aan de datum en het tijdstip dat de besmette bestanden op je server weggeschreven zijn.

Ik zou met het Apache log beginnen. Hier moet je in je hosting omgeving bij kunnen.

Als je de oorzaak wilt weten, dan zul je huiswerk moeten doen. Voor ons, blijft het raden naar een oorzaak, wij hebben immers geen toegang tot je server en geen glazen bol.

Indien gewenst kun je je klanten nog steeds laten registreren.
Stel de registratie van een klant zo in dat eerst een administrator de registratie beoordeeld.
Je hebt dus de keus een registratie goed of af te keuren, zo kun je goedwillende klanten nog steeds laten registreren.
Je hebt op deze manier de registratie zelf volledig onder controle.

Tip: Laat door myjoomla.com je website auditten, zie ook antwoord van Jelle, op deze manier kun je zien of je website is gehacked en waar.
Wel even een account aanmaken en de 1e audit is geheel gratis, heb je verdere hulp nodig kan dit tegen een kleine vergoeding en wordt je website virusvrij en geheel geüpdatet door de specialisten.

P.s.: Welke versie van Joomla gebruik je eigenlijk?

Hoe kan je daar nu zo zeker van zijn, in dec 2015 was er ook een gigantisch lek waardoor sites gehacked waren waaronder ik ook.
Dat kan nu toch weer. Zover ik kan zien proberen ze eerst te registeren, laten later een scrip los en komen binnen dan in de administrator backand. Plaatsen bestanden met links e.d.

Beste Otto,

In bovenstaand script kan je zien de data en hack pogingen deze komen van de server. van mijn provider/hooster.
Dus die data zijn bekend. Maar dan is het nog moeilijk na te gaan er staan zoveel files in dat is onbegonnen werk.

Beste Tonij,

Bedankt voor je tip. Ik zal dat de volgende keer zeker doen, nu heb ik de backup teruggezet.
Ik ben helemaal bij met de updates van Joomla er zijn geen updates. De versie is Joomla! 3.5.1
Dat registeren is wel een goeie.

Edit Jelle: Ik heb je berichten samengevoegd.

Hallo Robert,

Hetgeen je in je eerste post laat zien is geen script, maar dat zijn slecht enkele regels van het Apache log.
Hierin staat wel een datum en een tijd, maar niet de datum en de tijd die je wilt weten.
Deze worden vermeld bij de aangeroepen bestanden op je webserver.

Het zoeken van gewijzigde bestanden gaat heel eenvoudig met WinMerge. Je kunt de bestanden van de besmette site vergelijken met die van bijvoorbeeld een schone backup of een schone installatie met dezelfde extensies en versies als die van je site.

Succes met puzzelen.

Hoi Otto bedankt goede tip daar heb ik wat aan.
in de error.php zie ik trouwens wel een bepaald ip adres terugkomen, is dat iemand die probeer in te loggen of zo?
Bij deze de laatste log

2016-05-21T20:32:56+00:00 INFO 185.100.85.192 joomlafailure Gebruiker bestaat niet
2016-05-21T22:07:57+00:00 INFO 83.206.207.129 joomlafailure Gebruiker bestaat niet
2016-05-22T02:31:13+00:00 INFO 195.154.165.246 joomlafailure Gebruiker bestaat niet
2016-05-22T04:12:16+00:00 INFO 83.206.207.129 joomlafailure Gebruiker bestaat niet
2016-05-22T05:23:06+00:00 INFO 194.150.168.79 joomlafailure Gebruiker bestaat niet
2016-05-22T10:12:33+00:00 INFO 83.206.207.129 joomlafailure Gebruiker bestaat niet
2016-05-22T12:45:29+00:00 INFO 109.163.234.8 joomlafailure Ongeldig wachtwoord
2016-05-22T15:24:44+00:00 INFO 83.206.207.129 joomlafailure Gebruiker bestaat niet
2016-05-22T16:07:44+00:00 INFO 37.130.227.133 joomlafailure Ongeldig wachtwoord
2016-05-22T18:49:19+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:21+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:22+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:24+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:26+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:27+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:29+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:31+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:32+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:34+00:00 INFO 193.9.158.68 joomlafailure Ongeldig wachtwoord
2016-05-22T18:49:36+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:37+00:00 INFO 193.9.158.68 joomlafailure Gebruiker bestaat niet
2016-05-22T18:49:39+00:00 INFO 193.9.158.68 joomlafailure Ongeldig wachtwoord
2016-05-22T20:51:54+00:00 INFO 83.206.207.129 joomlafailure Gebruiker bestaat niet

Edit Jelle: Ik heb de meldingen tussen quotetags geplaatst, volgende keer graag zelf doen.

Hoi Robbert,

Hier heb je niet veel aan om dit op te lossen. Een error geeft aan dat er iets niet werkte.

Focus op gewijzigde bestanden met de door mij voorgestelde methode..