Hoort het bestand wp-logs.php thuis in Joomla!

Beste mensen,

Ik heb even een vraag:
Mijn broer krijgt van zijn hostingpartij weer te horen dat patchman kwaadaardige scripts heeft ontdenkt op de webserver. Deze heb ik inmiddels verwijderd.
Nu zie ik de root nog wp-logs.php staan, hoort deze thuis in de Joomla! installatie? Hier kwam geen melding over maar toch.

Net nadat de beveiligingspatch 3.6.4 uitkwam en de site geupdate was, kreeg hij ook al een melding. Toen ook de bestanden verwijderd. Ik heb toen voor de zekerheid de ww aangepast van de accounts, dbase en ftp.

Nee, dat bestand hoort er niet. Maar dat had je ook zelf kunnen zien als je een installatiepakket had uitgepakt

Beste Astrid,

Bedankt voor je snelle respons!

Yep, ik had inmiddels een fullpackage gedownload en gechecked en bestand verwijderd

Nog wat andere bestanden gezien:
- Nu zie ik ook nog een html bestand voor de google verification staan. Is deze van belang of kun je ook zonder?
- In de backend wordt gebruik gemaakt dan DMC firewall. Vreemd dat deze de bestanden er niet uitpikt. De firewall blocked wel regelmatig aanvallen en banned ook ip-adressen.
Bij installatie van DMC wordt een .htaccess aangemaakt. Moet de htaccess.txt dan verwijderd worden?

Het verificatiebestand moet je laten staan (of op een andere manier verifiëren). En htaccesss.txt doet niets, dus kan je rustig verwijderen.

Beste Astrid,

Wederom bedankt voor je repons!

Het grappige is dat de bestanden die door Patchman worden achterhaald, lokaal op mijn pc niet worden gezien door Malwarebytes als hetzijnde besmet.

Dat is toch raar?

Nee, dat is niet raar. Bepaalde code/tekst wordt niet gevonden door standaard virusscanners.

En volgens mij 'ziet' Patchman niets, maar is de info gebaseerd op de verschillen tussen de Joomla versies.

Beste Astrid,

Ok, duidelijk.
Maar patchman vist er wel bestanden uit die niet op server thuis horen. Hoe komen die dan op de server, toch niet doordat de bewuste bestanden in een update van Joomla! zitten?
Ik heb al wel meer gelezen dat patchman soms wat 'overdreven' reageert.

Bestanden die beginnen met wp zijn vaak van een Wordpress-installatie.
Maar pook hackers gebruiken dergelijke bestanden die lijken op een Joomla- of Wordpress-bestand om een gevaarlijk bestand op je site te plaatsten.
Doordat het lijkt op een normaal bestand trapt de mens er vaak wel in.
Maar beveiligingsprogramma's zoals Patchman kijken werkelijk in het bestand en zien dan de onbetrouwbare code en melden je dat.

Je zou ook de extensie SecurityCheck Pro kunnen overwegen.
Die scant ook alle bestanden van je website en geeft je een rapport wat er wel en niet vertrouwd is.
Verder is het een firewall en beveiligd het je website op nog een paar andere punten.

Beste WoodyF4u,

Bedankt voor je respons!
Duidelijk antwoord. Ik zal de extensie SecurityCheck Pro eens bekijken. Bedankt voor je tip!
Nu draait er DMC firewall op de achtergrond. Hier krijg ik een melding van als er iets gebeurd.
Maar wat moet ik erbij voorstellen wat er werkelijk gebeurd? Bijvoorbeeld:

- In een ontvangen rapport staat dat er een ip-adres wordt geblokkeerd.
- Het is een badbot.
- Er wordt een user agent vermeld bijv. www.site.com/docs/help/xxx.html
- request method: bijv. get
- request uri: bijv. /robot.txt

Wat is er dan in werkelijk nu gebeurt? Ik snap dat het ip adres is geblokkeerd en dat het om een badbot gaat. Maar hoe gaat het werkelijk in z'n werk?
Als ik het goed begrijp, wordt dan de site vanaf een andere besmette site benaderd? En wat probeert het dan te doen met de bewuste file (robot.txt)?

Heb trouwens nog de volgende bestanden gevonden:

- images/imagick.php en images/stat.php (wel beschreven en niet zoals in andere mappen leeg)
- language/overrides/conf-e3.php

Als ik in de fullpackage kijk dan zie ik deze bestanden niet. Maar als je een nieuwe installatie doet dan komen er na verloop van tijd bestanden bij. Dus ja, welke zijn wel goed en welke niet?

Wat jij ziet is niet goed en het duidt erop dat je website mogelijk is gehackt en dat er nu personen/systemen zijn die ongeautoriseerd toegang hebben tot jouw website.
Middels die PHP-bestanden kunnen ze vervolgens allerlei kwaadaardige acties vanaf jouw website uitvoeren.
PHP-bestanden horen namelijk nooit thuis in de map images, dus dat is best verdacht.

En misschien is het ook wel handig eens te kijken naar de service van MyJoomla.com of Sucuri.net waar ze de mogelijkheid bieden je website te onderzoeken op mogelijke kwaadaardige bestanden en die desgewenst voor je opschonen.

Beste WoodyF4u,

Bedankt weer voor je respons!
Ik zal gaan overleggen met mijn broer wat hij wil. Het lijkt mij wel de moeite waard om de site te laten checken.
Ik blijf je even overvallen met een andere vraag:
Kun je deze besmette files downloaden op je pc en open in een editor of activeer je daarmee ook de file?
Klinkt misschien als een domme vraag maar ik heb geen idee hoe je een dergelijk bestand activeer of hoe het wordt geactiveerd als het op je pc bevindt.