PHP worm

Hallo,

Sinds enkele weken heb ik om de aantal dagen een php code vooraan die automatisch in mijn php bestanden gezet wordt (vooral in mijn template bestanden). Het ziet er ongeveer zo uit: Als deze lijn wordt toegevoegd aan mijn bestanden, gaat mijn website offline. Telkens verwijder ik alle overbodige lijnen om mijn website weer online te krijgen. Ik heb al mijn bestandsrechten nagekeken en die kloppen allemaal. Ook heb ik enkele extensies geinstalleerd om het probleem tegen te gaan, zoals: eyesite, spam fighter en security check. Het probleem blijft steeds terugkomen. Aangezien al mijn mappen e.d. goed staan kwa rechten, lijkt het wel een worm die zich steeds opnieuw in mijn php bestanden zet. Het zijn ook enkel de php bestanden die aangetast worden. Kent iemand hier de oplossing voor?

Tnx!

Edit Jelle. Ik heb de code tussen codetags geplaatst, volgende keer graag zelf doen.

Hallo,

Gehackt dus.
Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

Zorg ervoor dat je PC Spy- en Malware vrij is.
Zet een goede recente backup terug.
wijzig al je wachtwoorden.
update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
Maak meteen een nieuwe backup.

EDIT: Gelijk met Otto en het zefde riedeltje.

Hallo Pheadra,

Helaas is je site gehacked. En dat zal keer op keer weer gebeuren als je de bron niet aanpakt.

Ga als volgt te werk:

1. Zorg dat je PC volledig virus en malware vrij is, meestal is je eigen PC de bron van besmetting.
2. Zet een recente backup terug, die gegarandeerd virus/malware vrij is.
3. Wijzig alle wachtwoorden (ftp/joomla/database)
4. Update alles (Joomla + gebruikte extensies) naar de laatste versie.
5. Maak een nieuwe backup.


@Jelle je bent me te snel af...

Even googlen leerde mij dit:
forum.joomla.org/viewtopic.php?f=621&t=705306
Volgens mij ben je gehackt.

Edit: Jelle en otto waren me te snel af!

Het is niet een oplossing, maar meer een stappenplan.

Scan de pc's op virussen die via het administrator gedeelte toegang hebben op de website en alle pc's die toegang hebben tot de server via FTP of het beheersgedeelte van de server. Dit scannen moet gebeuren met een antivirusprogramma die je online kunt vinden of eentje die nu niet is geinstalleerd op de pc's.

Vervolgens vervang je alle wachtwoorden van de administrator logins, ftp accounts en van degene die toegang hebben tot de beheersomgeving van de server.

Nadien is het van belang dat er op de website wordt gekeken of alle extensies en Joomla versie de meest recente is.

In 99% van de gevallen is het niet de website die besmet is, maar de pc. Daar vangt men dan de inloggegevens af met bijvoorbeeld een keylogger.

Edit: Oeps.......3 keer hetzelfde riedeltje.

Als dit geen toeval is, en TS weet nu zeker wat hij doen moet!!

Mijn huidige pc had ik nog niet gescand en de wachtwoorden werden ook nog niet veranderd, dus dat heb ik nu gedaan bovenop de rest. Hopelijk blijft het probleem nu weg.

Groetjes

Het is teruggekomen en ik heb bovenstaande stappen allemaal gedaan...

Scan je PC eens met een andere scanner. Of als er nog iemand anders toegang heeft, laat die zijn PC dan controleren.

Maar wie zegt dat de code afkomstig is van haar/zijn pc? Het kan natuurlijk ook een slecht beveiligde webserver zijn waar een andere website voor de problemen zorgt. Ik zou zou wie zo eerst proberen de bestanden niet voor iedereen op schrijfbaar te zetten. Ik hoop dat je ook de laatste versie van joomla, plus je componenten (waar soms ook gaten in zitten) geupgrade heb. Kijk voor de zekerheid ook even naar je .htaccess als je die gebruikt, die worden ook vaak gebruikt om extra code in te zetten.

Maar wie zegt dat de code afkomstig is van haar/zijn pc?

Veel voorkomende oorzaken waardoor een hack ontstaat zijn:

1. Geïnfecteerde pc
2. Map (755) en bestand (644) rechten op webserver niet veilig
3. Joomla + Extensies niet up-to-date
4. Lekke server

De geïnfecteerde pc staat met stip op 1.

Okay virussen op met name windows pc's snap ik. Ik ben zelf hosting provider en heb nog nooit een gehackte joomla gehad. Wat is ook erg vreemd vind is dat dan een ftp programma zelf de files moet gaan uploaden op de server, ervan uitgaande dat dit niet is gebeurd hoe komen die bestanden er dan wel op?

Dus eerst is de website gehackt dan worden de bestanden erop nieuw overheen gezet, men vergeet dan vaak de .htaccess.

Ik geef mijn klanten het advies vooral op hun bestandsrechten te letten. Een verkeerde geconfigureerde webserver waarbij het eenvoudig is om ook in andere mappen/websites te komen is ook vaak een oorzaak.

Ik zou eerst een mysql backup maken, dan de site in zijn geheel weghalen, dan opnieuw joomla erop plus de componenten en dan import database. Desnoods de mysql dump nog even op die code doorzoeken die er niet in hoort te staan.