TIP! - Gehackt - wat te doen en hoe te voorkomen.
TIP! - Gehackt - wat te doen en hoe te voorkomen.
14 dec 2011 11:52 - 21 feb 2012 12:15
Omdat het voor mij de eerste keer was dat ik te maken heb gehad met het fenomeen "hacken" heb ik mij er iets meer in verdiept. En dit draadje geopend in geval er meer mensen problemen mee hebben
Na allereerts een passende oplossing te hebben verkregen via dit forum heb ik contact op genomen met de webhost om te vragen hoe om te gaan met dit probleem en kreeg het volgende antwoord:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
In bijna alle van dit soort gevallen ligt de oorzaak in virussen(keylogger) en/of spyware
op de eigen (lokale) computer van de webmaster/eigenaar.
Op een computer die namens de eigenaar van het domein via FTP toegang heeft tot onze
server kan dit optreden.
De laatste maanden komt dit, helaas, regelmatig voor doordat een gebruiker van ftp een
computer heeft welke, vrijwel zeker, besmet is of is geweest met een gumblar-virus/trojan
(of variant hiervan).
Op die computer heeft iemand(hacker) de FTP login weten te achterhalen.
En op die manier de broncode via FTP aanpast.
Dit is op dit moment een zeer populaire wijze om virussen te verspreiden.
Dat is in de PLESK logmanager na te gaan.
Het bestand xferlog en xferlog.processed is de logging van de FTP server.
Daar zie je dan vanaf welk ip adres er een FTP verbinding is geweest.
Als het laatste het geval is dan raad ik aan een goede virusscan uit te voeren en het FTP
en PLESK wachtwoord snel aan te passen.
Via PLESK kunt u het FTP wachtwoord zelf aanpassen.
Het is dan ook van belang de geïnfecteerde bestanden opnieuw te uploaden.
Let er ook op dat de te uploaden bestanden op uw eigen computer "schoon" zijn.
PS: Als u de melding krijgt dat er een virus/trojan/exploit op uw website staat wordt dat
nooit veroorzaakt door een virus bestand, maar door een link die is opgenomen op uw
webpagina.
Meestal gaat het om een iframe.
Het kan ook dat error documenten in de map /error_docs zijn geïnfecteerd.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Aldus de reactie. Ik heb dit opgevolgt, ben gaan struinen in de log files en heb het IP-address van de vermeende boosdoener kunnen achterhalen. Ja en dan verder? Al googlelend kwam ik uit bij het aanpassen van de .htaccess file. Ook dit voor mij onbekend terrein maar niet geschoten is altijd mis. Via Who Is etc. zoveel mogelijk info achterhaald van de inbreker en het betreffende IP-address van deze deugniet was onderdeel van een hele range addressen. Ik heb deze allemaal toegevoegd en wel op de volgende manier
order allow,deny
deny from 217.33.***.***
deny from 217.33.***.***
deny from 217.33.***.***
deny from 217.33.***.***
deny from 217.33.***.***
enz.....
allow from all
Verder natuurlijk alle wachtwoorden van admins, ftp, Plesk, frond-end, back-end gewijzigd en minimaal 10 karakters gebruikt.
Ik hoop dat dit werkt en met deze informatie een bijdrage te hebben kunnen leveren aan dit forum.
Heeft iemand aanvullende info, lees hoe beveilig ik beter, dan hoor ik jullie graag.
Edit Renata: Ik heb de titel van je topic aangepast omdat de oude titel (HTML/ Iframe.B.Gen virus Deel 2 ) mij onduidelijk leek voor andere lezers.
Na allereerts een passende oplossing te hebben verkregen via dit forum heb ik contact op genomen met de webhost om te vragen hoe om te gaan met dit probleem en kreeg het volgende antwoord:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
In bijna alle van dit soort gevallen ligt de oorzaak in virussen(keylogger) en/of spyware
op de eigen (lokale) computer van de webmaster/eigenaar.
Op een computer die namens de eigenaar van het domein via FTP toegang heeft tot onze
server kan dit optreden.
De laatste maanden komt dit, helaas, regelmatig voor doordat een gebruiker van ftp een
computer heeft welke, vrijwel zeker, besmet is of is geweest met een gumblar-virus/trojan
(of variant hiervan).
Op die computer heeft iemand(hacker) de FTP login weten te achterhalen.
En op die manier de broncode via FTP aanpast.
Dit is op dit moment een zeer populaire wijze om virussen te verspreiden.
Dat is in de PLESK logmanager na te gaan.
Het bestand xferlog en xferlog.processed is de logging van de FTP server.
Daar zie je dan vanaf welk ip adres er een FTP verbinding is geweest.
Als het laatste het geval is dan raad ik aan een goede virusscan uit te voeren en het FTP
en PLESK wachtwoord snel aan te passen.
Via PLESK kunt u het FTP wachtwoord zelf aanpassen.
Het is dan ook van belang de geïnfecteerde bestanden opnieuw te uploaden.
Let er ook op dat de te uploaden bestanden op uw eigen computer "schoon" zijn.
PS: Als u de melding krijgt dat er een virus/trojan/exploit op uw website staat wordt dat
nooit veroorzaakt door een virus bestand, maar door een link die is opgenomen op uw
webpagina.
Meestal gaat het om een iframe.
Het kan ook dat error documenten in de map /error_docs zijn geïnfecteerd.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Aldus de reactie. Ik heb dit opgevolgt, ben gaan struinen in de log files en heb het IP-address van de vermeende boosdoener kunnen achterhalen. Ja en dan verder? Al googlelend kwam ik uit bij het aanpassen van de .htaccess file. Ook dit voor mij onbekend terrein maar niet geschoten is altijd mis. Via Who Is etc. zoveel mogelijk info achterhaald van de inbreker en het betreffende IP-address van deze deugniet was onderdeel van een hele range addressen. Ik heb deze allemaal toegevoegd en wel op de volgende manier
order allow,deny
deny from 217.33.***.***
deny from 217.33.***.***
deny from 217.33.***.***
deny from 217.33.***.***
deny from 217.33.***.***
enz.....
allow from all
Verder natuurlijk alle wachtwoorden van admins, ftp, Plesk, frond-end, back-end gewijzigd en minimaal 10 karakters gebruikt.
Ik hoop dat dit werkt en met deze informatie een bijdrage te hebben kunnen leveren aan dit forum.
Heeft iemand aanvullende info, lees hoe beveilig ik beter, dan hoor ik jullie graag.
Edit Renata: Ik heb de titel van je topic aangepast omdat de oude titel (HTML/ Iframe.B.Gen virus Deel 2 ) mij onduidelijk leek voor andere lezers.
Proud to be a Liquid Junkie
- grandpa
- Heeft onderwerp gestart
- Nieuw op Joomla!NL
- Berichten: 18
Joomla hack !
14 feb 2012 12:25
Kom je niet meer op je website door een vreemde tekst regel heb je waarschijnlijk een ADMIN-hack te pakken.
Zorg dan je een goed back-up hebt die je terug kan zetten !!
Probeer in te loggen via joomla/administrator en verander dan meteen je ADMIN wachtwoord naar een ander woord met minimaal 8 letters. Dan opslaan. Daarna moet je weer met je nieuwe code binnen kunnen komen en je site weer werkend zijn. Dan nog het belangrijkste...... wat hebben ze in je site gerommeld !!! Meestal tref je in index.php ( 2x aanwezig joomla en administrator directory's) een heeeeel groot bestand aan dat tussen haakjes staan <script>....</script>
WIS DAT en sla de php opnieuw op. Daarna moet je site weer redelijk veilig zijn.
Kom je helemaal niet meer binnen moet je een nieuwe code genereren, zoek even op md5 encryption voor een progje hiervoor. Neem een woord en genereer je TIJDELIJKE-code.
Ga dan naar je database en kijk daar naar de file ...-user (voorvoegsel kan verschillen) klik op verkennen en zie alle inlog gegevens. wijzig met edit je admin wachtwoord, en plak daar naast/onder je gegenereerde code in en wis de inhoud van dat vak. Dan opslaan.
Als je alles goed gedaan hebt kun je weer in je joomla komen met je nieuwe inlog gegevens. Dan WEL via gebruikers nog even een NIEUW wachtwoord invullen !!!
Het tijdelijke kan ergens in een logboek staan zodat ze alsnog binnen kunnen komen!!!
Achterdochtig........ nou nee maar na vier keer een hack in een week..........
Ik vertouw nu niemand meer dus wijzig ook de extren gegenereerde wachtwoorden weer.
Door schade en schande wijsgeworden ben ik nu zover dat mijn site weer in de lucht blijft!!
Het is mogelijk om de database van ergens uit de wereld uit te lezen. Dan zoeken ze naar de term ADMIN en vinden zo je wachtwoord !!! Als dit woord ADMIN dus anders is vinden ze het niet zo eenvoudig meer!! Bij mijn host was de database beveiliging zo lek als een mandje dus !!!
Succes
Kees
Zorg dan je een goed back-up hebt die je terug kan zetten !!
Probeer in te loggen via joomla/administrator en verander dan meteen je ADMIN wachtwoord naar een ander woord met minimaal 8 letters. Dan opslaan. Daarna moet je weer met je nieuwe code binnen kunnen komen en je site weer werkend zijn. Dan nog het belangrijkste...... wat hebben ze in je site gerommeld !!! Meestal tref je in index.php ( 2x aanwezig joomla en administrator directory's) een heeeeel groot bestand aan dat tussen haakjes staan <script>....</script>
WIS DAT en sla de php opnieuw op. Daarna moet je site weer redelijk veilig zijn.
Kom je helemaal niet meer binnen moet je een nieuwe code genereren, zoek even op md5 encryption voor een progje hiervoor. Neem een woord en genereer je TIJDELIJKE-code.
Ga dan naar je database en kijk daar naar de file ...-user (voorvoegsel kan verschillen) klik op verkennen en zie alle inlog gegevens. wijzig met edit je admin wachtwoord, en plak daar naast/onder je gegenereerde code in en wis de inhoud van dat vak. Dan opslaan.
Als je alles goed gedaan hebt kun je weer in je joomla komen met je nieuwe inlog gegevens. Dan WEL via gebruikers nog even een NIEUW wachtwoord invullen !!!
Het tijdelijke kan ergens in een logboek staan zodat ze alsnog binnen kunnen komen!!!
Achterdochtig........ nou nee maar na vier keer een hack in een week..........
Ik vertouw nu niemand meer dus wijzig ook de extren gegenereerde wachtwoorden weer.
Door schade en schande wijsgeworden ben ik nu zover dat mijn site weer in de lucht blijft!!
Het is mogelijk om de database van ergens uit de wereld uit te lezen. Dan zoeken ze naar de term ADMIN en vinden zo je wachtwoord !!! Als dit woord ADMIN dus anders is vinden ze het niet zo eenvoudig meer!! Bij mijn host was de database beveiliging zo lek als een mandje dus !!!
Succes
Kees
- Kamhsbrg
- Nieuw op Joomla!NL
- Berichten: 10
Tijd voor maken pagina: 0.634 seconden