Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 4.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.

Site gehackt

Site gehackt

12 apr 2023 11:12
#1
Beste,

Begin dit schooljaar heb ik een site overgenomen voor een school binnen onze scholengemeenschap. Ik had de oude bestaande site gewist. Bij Combell op de webruimte heb ik via cms-installatie een Joomlasite geïnstalleerd (Ik had die beter handmatig geïnstalleerd).

Ik heb al heel de tijd problemen met die website. Ik heb een vermoeden dat de server gehackt is.

- De site geeft contstant internal server fouten, out of the blue (die ik kan oplossen door backups terug te plaatsen.
- Vorige week was mijn volledige userstabel plots weg uit de database. zeer vreemd (kunnen herstellen door backup database)
- Vorige week kon ik plots niet meer inloggen met mijn superadminaccount (terug kunnen aanpassen via de database)
- Ik moet de site altijd handmatig updaten (anders lukt niet)
- Wanneer ik onze site wil zoeken via Google, krijg ik allemaal Chinese karakters bij het zoekresultaat

Ik verwittig Combell en die doen een soort scan en vertellen mij dat er inderdaad corrupte files te zien zijn.

Hoe het verder moet, daar krijg ik geen uitleg over.

Ik zit met een aantal vragen. Hoe komt het dat de site gehackt is???
Ik gebruik enkel legitieme software waar ik voor betaal bij Joomshaper (Template en pagebuilder) en Stackideas (Easyblog). Verder nog Convertforms, Akeeba Backup en Icagenda
Leerkrachten hebben een login gekregen om berichten via Easyblog te posten. Sommigen hebben iets meer rechten.

Welke stappen onderneem ik nu best?

Alvast bedankt!
  • dawebmasta
  • dawebmasta's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 183

Site gehackt

12 apr 2023 11:52
#2
Je had je site inderdaad beter handmatig kunnen installeren, maar dat terzijde. Ik hoop niet dat je tabelvoorvoegsel ook nog jos_ is?
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit of doordat je verouderde of illegale extensies gebruikt.
Ga dus als volgt te werk:
  1. Zorg ervoor dat je PC Spy- en Malware vrij is.
  2. Zet een goede recente backup terug.
  3. wijzig al je wachtwoorden.
  4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
  5. Maak meteen een nieuwe backup.
Als je geen schone backup hebt is het het handigste om alles van de server te verwijderen. Wel eerst alle afbeeldingen en de configuration.php naar je computer halen (eventueel de hele site) en een backup maken van je database. Dan een schone installatie te doen met een nieuwe database en alle geïnstalleerde extensies. Daarna je afbeeldingen en je configuration.php weer uploaden en de backup van je database weer importeren.

Of je kunt je site op laten schonen door myjoomla.com of sucuri.net
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37060

Site gehackt

12 apr 2023 12:04
#3
Beste Astrid,

Bedankt voor je antwoord

Aangezien ik geen verouderde of illegale extensies gebruik, zou het dus kunnen dat er Malware of Spyware op mijn lokale pc zit?
Zou het ook kunnen dat er Malware of Spyware op de toestellen van de leerkrachten zit die een account op de site hebben?
De meeste hebben maar beperkte rechten, maar toch...

Ik was eigenlijk van plan om een cleane install te doen, maar heeft dat dan wel zin?

Mvg
  • dawebmasta
  • dawebmasta's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 183

Site gehackt

12 apr 2023 12:16
#4

Zou het ook kunnen dat er Malware of Spyware op de toestellen van de leerkrachten zit die een account op de site hebben?

Zou zomaar kunnen.
En als daar iemand een geïnfecteerde computer heeft, dan heeft een clean install eigenlijk niet zoveel zin als je niet eerst dat probleem oplost. Of die persoon geen toegang meer geeft :evil:

Overigens ook vreemd dat Combell aangeeft dat er corrupte files te zien zijn en niet in ieder geval aangeeft welke dat zijn.
Misschien dat je iets meer ziet als je je site laat scannen door sucuri .

Overigens: als je een backup terugzet maak je dan wel eerst de rootmap en de database leeg? Anders heeft het terugzetten van een backup namelijk weinig zin.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37060

Site gehackt

12 apr 2023 12:24
#5
Bedankt voor je antwoord.



Beste,
Ik vraag eerst even aan Combell of ze een lijst van de corrupte files kunnen doorsturen.

Wel beangstigend die Spyware. Ik heb andere sites van de scholengemeenschap waar de ouders een account moeten maken om hun kind te kunnen inschrijven voor een oudercontact of om een ontbijtpakket te kunnen bestellen bij een actie van de ouderraad. Dan moet er daar maar één ouder bijzitten die spyware op zijn computer heeft staan om heel de site om zeep te helpen?
  • dawebmasta
  • dawebmasta's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 183

Site gehackt

12 apr 2023 12:26
#6
Geregistreerde gebruikers (ouders) vormen over het algemeen geen risico. Het gaan meer om gebruikersgroepen die wat meer mogen op de site.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37060

Site gehackt

12 apr 2023 13:33
#7
Dat is al een beetje geruststellend.
Combell zal de scan opnieuw doen en de resultaten doormailen.

Dus even afwachten dus...
  • dawebmasta
  • dawebmasta's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 183

Site gehackt

12 apr 2023 14:16
#8
Beste,

Dit heb ik ontvangen van Combell: Dit zijn de corrupte files
Code:
- {HEX}Malware.Expert.generic.eval.87: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/administrator/components/com_easyblog/tables/themes.php - {HEX}Malware.Expert.php.password.password.eval: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/api/components/com_languages/src/View/Strings/xmlrpcs.php - {HEX}Malware.Expert.add.var.add.var.add.var: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/api/components/com_plugins/src/Controller/about.php - {HEX}Malware.Expert.add.var.add.var.add.var: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/api/components/com_plugins/src/Controller/about.PHP - {HEX}Malware.Expert.add.var.add.var.add.var: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/media/plg_content_vote/images/about.php - {HEX}Malware.Expert.add.var.add.var.add.var: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/media/plg_content_vote/images/about.PHP - {HEX}Malware.Expert.php.ord.quotes: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/media/plg_system_stats/wp-login.php - {HEX}Malware.Expert.php.base64.decode.file.put.contents.request: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/media/vendor/tinymce/plugins/quickbars/themes.php - {HEX}Malware.Expert.scandir.post: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/plugins/quickicon/akeebabackup/services/uninstall.php - {HEX}Malware.Expert.php.filemanager.v1.1: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/templates/cassiopeia/filemanager2.php - {HEX}Malware.Expert.add.var.add.var.add.var: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/templates/cassiopeia/wsoyanzupdate0208.php - {HEX}Malware.Expert.add.var.add.var.add.var: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/templates/shaper_helixultimate/html/layouts/joomla/form/about.php - {HEX}Malware.Expert.add.var.add.var.add.var: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/templates/shaper_helixultimate/html/layouts/joomla/form/about.PHP - {HEX}Malware.Expert.php.pattern.pattern: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/css/votes.php - {HEX}Malware.Expert.php.include: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/index.php - {HEX}Malware.Expert.php.base64.decode.file.put.contents.request: /data/com-linweb112/sites/web/domeinnaamwebsitebe/www/xmlrpcs.php
  • dawebmasta
  • dawebmasta's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 183

Site gehackt

12 apr 2023 14:47
#9
Ziet er niet goed uit. Dat wordt dan toch de stappen volgen die ik je eerder aangaf. En misschien de eerste maanden geen externen toelaten boven het niveau van geregistreerd?
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725
Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37060

Site gehackt

26 apr 2023 09:47
#10
Ik heb alle computers van leden die meer rechten hebben dan 'geregistreerd' gescand op malware. Bij één persoon heel wat infecties gevonden op zijn computer (dit zou mss de oorzaak kunnen zijn)
Ik heb het 'kader' van de site 'lokaal' opnieuw opgebouwd via Xampp.

Zou het verstandig zijn om tabellen uit de 'oude' database te halen (bv. kalenderitems bij Icagenda of berichten uit Easyblog) en die in te voegen in mijn 'voorlopig' offline site of ben ik dan met vuur aan het spelen. Aan de andere kant, dit opnieuw invoegen zou enorm veel tijd kosten.

Volgen die lijst van Combell zijn de geïnfecteerde files allemaal php's ?

Wat raden jullie mij aan?

Mvg
  • dawebmasta
  • dawebmasta's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 183

Site gehackt

26 apr 2023 10:47
#11
Een hack beïnvloed bijna nooit de database-tabellen.
Je zou dergelijke tabellen dus kunnen importeren.
Maak wel regelmatig back-ups van je hele site (bijvoorbeeld met Akeeba Backup).
Dan kun je altijd terug naar een vorig punt.
Met vriendelijke groet,
Wouter Compactweb.nl
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum.
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • WoodyF4u
  • WoodyF4u's Profielfoto
  • Moderator + Nieuwsteam
  • Moderator + Nieuwsteam
  • Berichten: 11163

Site gehackt

23 mei 2023 11:00
#12
Hallo iedereen,

We zijn een paar weken verder. Ik Heb de site volledig opnieuw opgebouwd met een nieuwe database en handmatige installatie van Joomla. Wel heb ik een aantal tabellen uit de oude database meegenomen, om niet alles opnieuw te moeten opbouwen. Alles lijkt naar behoren te werken. Ik kan opnieuw updaten. Ik heb Combell nog eens een scan laten uitvoeren. Alles was clean (blijkbaar scannen ze wel alleen de files en niet de database.). Hopelijk blijft alles goed.

Bedankt voor de hulp. Dit topic mag wat mij betreft dicht.
  • dawebmasta
  • dawebmasta's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 183
Tijd voor maken pagina: 0.932 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie