Bestanden bewerkt/toegevoegd in root

Goedemorgen allen,

Toen ik vanmorgen op de (door mij gebouwde) website van een klant keek, zag ik vreemde 'hacked'-teksten staan. (This website was hacked by...).
Uiteraard meteen via FTP verwijderd en de originele bestanden terug gezet, maar wel even geschrokken.

Mijn vraag; hoe kunnen dergelijke bestanden toegevoegd worden?
Het is mij wel al vaker gebeurd dat Joomla-bestanden bewerkt werden, maar nog nooit dat er in de root bestanden toegevoegd zijn (index.html, index.htm, home.html, home.htm waren allemaal toegevoegd én de bestaande index.php was bewerkt).

De bestandsrechten zal ik vandaag uitvoerig checken, maar wie kan mij vertellen op welke manieren bovenstaande bestanden bewerkt/toegevoegd hebben kunnen worden?
Bestanden in de root van de website toevoegen kan toch alleen maar via FTP? De FTP-laag in Joomla heb ik nooit ingeschakeld.

Alvast bedankt!
Stefan

Ik weet lang niet alles van beveiliging af maar weet wel dat een niet goed beschermde website op deze manier kan worden aangevallen. Gebruik het programma AdminTools van Akeeba om de beveiliging in orde te maken maar vergeet niet om de handleiding goed te lezen!

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

RFI en CSRF aanvallen op Joomla.

Daarnaast kunnen er zwakke services op de server draaien, maar in dat geval zijn doorgaans alle websites op die specifieke server besmet (om het maar zo te noemen).

Andere mogelijkheden zijn o.a. SQL injectie, social engineering en logging. In hoeverre het met een XSS aanval kan durf ik geen uitspraken over te doen.

Hoi Stefan,

Dat is balen....

Bestanden in de root van de website toevoegen kan toch alleen maar via FTP?

Zeker niet alleen via FTP. Bovenstaand zijn enkele mogelijkheden genoemd.

Enkele tips:
- Download alle logs
- Download gehackte site en sla deze op als backup.
- Kijk naar data van aangepaste bestanden, de scan van Secure Joomla ken je ook wat ook raadzaam is
- Controleer cronjobs
- Controleer gebruikers, met name super admin en admin
- Controleer bestanden en database
- Als je ergens 1 bestand of gebruiker oid van de hacker mist, dan wordt je weer gehackt

Je hebt enkele opties:
- Oude backup terugzetten. Merk op: kan besmet zijn (zonder dat je het weet)!
- Site opschonen
- Site helemaal opnieuw opbouwen. Meeste werk, maar wel beste.

Vergeet niet om je wachtwoorden aan te passen (FTP, database, admins, webhost controlpanel). Ook idd je PC scannen op virussen, pc van je klanten kan eventueel ook besmet zijn. Hopelijk lukt het zo (binnen redelijke tijd). Sterkte/succes!