Site gehackt of wat is de bedoeling van dit(zie screenshot)?

Hallo,

Ik heb hier gisteren ook een draadje geopend. Dit is al weer gesloten.

Inmiddels ben ik met de analyse verder gegaan. Ik focuste mij voornamelijk op kickstart.php omdat het maken van de backup gewoon goed gaat, nog niets opmerkelijks aan de site gemerkt. Maar opeens, weet ik eigenlijk niet meer hoe, zie ik in de root de file menu.php staan en deze had ik nog nooit gezien bij joomla, althans niet in de root. Voor de inhoud zie de screenshot.

ik heb deze gedownload en proberen te openen. Ging niet, foutmelding dialoog en als ik de dialoog sluit was het bestand weg!!!!!!????????? Waar is deze gebleven? Door mijn virusscanner opgevreten?? (bitdefender, zou de beste moeten zijn).
Deze file verwijderd opnieuw een backup gemaakt en proberen terug te zetten.
Opnieuw ging het fout. Vervolgens een zip backup gemaakt en op "$auth_pass" gezocht. In de site zit dus meerdere malen bestanden verstopt met de inhoud van menu.php:

1. - in de root: menu.php
2. - modules/mod_login/login.php
3. - modules/search/menu.php
4. - components/com_ajax/popular.php
5. - libraries/googl/category.php
6. - libraries/vendor/category.php
7. - plugins/finder/index.php
8. - plugins/search/helper.php
9. - images/wsv/video/jeugd-oranje.mp4. Of althans deze blokkeerde ook het terug zetten van de site via kickstart.php

Voor mij is dit nogal schrikken.
Ook heb ik inmiddels dit draadje via google gevonden - gelezen. De post van ITZMIE komt dan overeen wat ik met de volleybal site van problemen heb!

Maar nu, wat is er allemaal gebeurd????

1. - hoe groot is de schade of hoe groot kan die zijn?
2. - Wat is de bedoeling geweest van die dit heeft gedaan?
3. - Wat heeft die willen bereiken? Er zitten geen persoons gegevens in deze site! Geen betalingsverkeer ed.
4. - En mijn mede clubleden, die de site bezocht hebben, kunnen die hier ook nadelen van ondervinden? Ik bedoel, er heeft nog geen enkele clublid gereageerd met van "hey, mijn virusscanner slaat aan..." oid. Kan hun computer "besmet" zijn?

Inmiddels een sitecheck op sucuri gedaan. Zit er goed uit volgens mij (zie screenshot) Ook heb ik dit uitgevoerd en zie ik geen vreemde bestanden meer althans niet met /?????/????/.xxxxx.yyyy

Maar hoe nu verder?
Ik heb, na de bovenstaande bestanden verwijderd te hebben, de site wel kunne uitgepakken via kickstart.php. Ik heb nog niet de database terug gezet op mijn localhost omdat ik het nog niet vertrouw. Ik heb vandaag bitdefender de meest uitvoerige scan laten uitvoeren en die heeft de bestanden wel uit de zip/jpa bestanden verwijderd zie ik in de logging.

Heeft iemand nog ideeen hoe ik het beste verder kan gaan. Moet ik de database door zoeken? Zo ja, waar moet ik dan op zoeken?

Nico

Volgens mij heb je alles gedaan wat je zelf kan doen.
Je vraagt wat iemand met een site als die van jou wil...
Dat is simpel. Soms wordt er geprobeerd om via een gehackte website andere sites op een gedeelde hostingserver te benaderen.
Afhankelijk van de beveiliging bij je hoster heeft dit wel of geen succes.
Ook kan de hacker via een gehackte website weer andere websites benaderen en dan onschuldig doen alsof de afzender jouw website is.
De hackre is dus op zich totaal niet geïnteresseerd in jouw website opzich.
Alleen dat je website niet goed beveiligd was , was op dat moment interssant.

Wat nu?
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Het kan best zijn dat andere leden geen gevaar lopen, omdat Sucuri ook al aangeeft dat je site veilig is.
Toch is dat niet altijd een garantie, want het doel van de hacker kan bijvoorbeeld ook zijn om via jouw website spam te versturen en dat merkt een bezoeker niet bij een gewoon websitebezoek.

Als je de website echt helemaal schoon wil hebben, kun je bijvoorbeeld bij Sucuri vragen om (tegen betaling) je website helemaal te laten scannen op besmette bestanden. Zij zorgen er dan ook voor dat die bestanden geschoond worden.

Enn een haker doet nooit iets met de database, dus daar hoef je je geen zorgen om te maken.

Hacken kan je zien als "sport" of "vandalisme". Hackers zoeken naar lekken en bij jou hebben ze een lek gevonden. Er bestaat altijd een kans dat hackers ook ergens een virus verstopt hebben dat mogelijk computers van gebruikers kan besmetten. Maar meestal is het doel om een site aan te vallen.

Als er andere gebruikers op je site zijn die meer rechten hebben dan geregistreerd, dan kan de hacker ook via die computers toegang gekregen hebben.

Het verwijderen van duidelijk zichtbaar besmette bestanden is overigens in veel gevallen onvoldoende om er zeker van te zijn dat je site echt schoon is.

Ok, hier kan ik kort over zijn. Aangezien mijn disk stuk was heb ik de afgelopen week gehele software opnieuw geinstalleerd.
Ik heb bitdefender als virusscanner.

Het enige wat mij nu opviel is dat als ik de bestanden download van de website als zip of jpa file de virusscanner niet aan slaat. Maar ik heb de bitdefender vandaag alles laten scannen en dan haalt hij de boven genoemde bestanden er wel uit en in de log staat ook ' removed" !!???

Inmiddels heb ik hosting2go ook benaderd en ik hoop dat ik daar ook antwoord van krijg. Ik heb in de log files gekeken maar daar kan ik zo niet direct iets vinden.

Ok, wat moet ik of beter wat kan ik nog doen om te checken of mijn site echt schoon is?

De kans dat de hack in je database zit is klein, maar het is wel mogelijk.
Maar over het algemeen kan je er wel vanuit gaan dat alleen je bestanden gehackt zijn.
Het beste kan je de tip in #4 van dit draadje opvolgen forum.joomlanl.nl/forum/3-x-installatie-...-hack-one-com#128432

Of je moet nog een schone backup hebben, dan kan je die terugzetten.