Offline moeten zetten door verdachte scripts

Hallo,

Krijg vandaag de volgende melding:

Helaas hebben wij zojuist uw website �terrasracers.nl� offline moeten zetten. Dit is gedaan omdat uw website verdachte scripts bevat en vermoedelijk is gehackt. Dit gebeurt vaak via een lek script in uw website, een script dat �out of date� is.

Wij hebben om bovenstaande reden de oude bestanden van uw website verplaatst naar de map �public_html.old�.

Daarnaast hebben wij het FTP-wachtwoord voor uw aangepast, deze wordt mogelijk gebruikt voor uw database connectie en deze kan mogelijk gecompromitteerd zijn.

U ontvangt uw nieuwe wachtwoord apart van dit bericht.

Wij hebben deze actie ondernomen om de continu�teit van ons platform te waarborgen.

Het is daarom belangrijk dat u uw website controleert om lekke scripts te achterhalen en te corrigeren/updaten.

Vergeet daarnaast ook niet uw database connecties aan te passen naar het nieuwe wachtwoord.

De onderstaande bestanden met verdachte scripts hebben wij aangetroffen.

images/nyet.gif
images/qq4.txt
images/x.txt
images/zxcvbnm.gif
images/mnbvcxz.gif

Zodra de fout is gevonden kunt u de website weer online zetten door de bestanden terug te zetten in de map �public_html�, maar niet eerder, neem bij twijfel of vragen altijd eerst contact met ons op.

Heeft iemand een idee wat er aan de hand is en hoe ik dit kan oplossen en in de toekomst voorkomen.

GreetinX
Edit Astrid: Ik heb de melding tussen tags geplaatst, volgende keer graag zelf doen.

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Oké ga meteen de computer uitgebreid scannen.
Daarnaast nog een vraagje hoe weet ik dat mijn vorige back-ups al niet besmet waren? Kan ik dat op enige manier achterhalen?

Bedankt voor de snelle reactie.

Dat wordt heel lastig. Je kunt je backups lokaal restoren en dan lokaal een identieke installatie maken zonder content maar met alle gebruikte extensies en dan vergelijken met notepad++ of Winmerge.
Maar je had hier ook al problemen volgens mij.
Dus misschien handiger om helemaal opnieuw te beginnen.
Laatste backup lokaal restoren, content en gebruikers exporteren met J2XML en importeren in je nieuwe site. Dan moet je nog wel een paar dingen opnieuw doen, maar de basis staat dan weer en is schoon. Tenminste............ als je computer schoon is.

Computer volledig gescand met Emsisoft Internet security, geen problemen gevonden.
Heb vier volledige kopie's gemaakt van de site in juni, juli en twee in oktober maar hoe moet ik de laatste back-up restoren?

Hoe heb je die back-ups gemaakt?
Met Akeeba Back-up of bijvoorbeeld in Direct Admin?

Het in ieder geval belangrijk om te weten of je zowel mappen en bestanden als ook de database in je back-up hebt meegenomen.

Met ftp de complete map public-html gekopieerd weet niet of de database daarbij inbegrepen zit?

Als je alleen met FTP een back-up van de map op de server hebt gemaakt, dan is dat geen volledige back-up van je website.
Op zich nog geen probleem, omdat een gehackte site geen data in de database wegschrijft, maar alleen bestanden aantast.

Nu je site toch al is gehackt, zou je nog kunnen proberen om met FTP eerst je root-map op de server leeg te maken en vervolgens de data uit één van je back-ups erin te plaatsen.

Als het goed is werkt je site dan weer zoals het moet.

Maak voor je begint nog wel even een laatste recente back-up van wat er nu in de root-map van je site staat.

Bedankt voor de tip maar zal ff moeten wachten tot ik een nieuw FTP wachtwoord toegewezen krijg. GreetinX