security alert bij opvragen website

hallo, een website die ik beheer, krijgt bij het opvragen een security alert en bericht dat die geinfecteerd zou zijn, het gaat hier om link verwijderd i.v.m. malware
deze website gebruikt joomla 2.5.8 , graag advies van mensen die dat nog hebben voorgehad

Edit Astrid: Ik heb je link verwijderd om de andere leden te beschermen!

ok Astrid, de website lijkt nu ondertussen terug normaal te werken
gaat het hier dan wel om malware?

Heb je iets veranderd dan?
Ik weet de url zo niet, maar die kan je me wel even via pm sturen als je wilt. Kapersky begon meteen te protesteren vanochtend, dus ik verwacht niet dat dat zomaar vanzelf verdwijnt.

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

Je hebt echt last van een virus of malware:



Kijk hier ook maar eens.

ik heb website offline gezet en zal de laatste backup terugzetten

Astrid, ik vind het wel eigenaardag dat er Joomla version outdated: Upgrade required
staat, ik gebruik nl joomla 2.5.8

WebServer naar PHP interface apache2handler
Joomla! versie Joomla! 2.5.8 Stable [ Ember ] 8-November-2012 14:00 GMT
Joomla! Platform versie Joomla Platform 11.4.0 Stable [ Brian Kernighan ] 03-Jan-2012 00:00 GMT

Is eigenaardig, maar kan door die malware veroorzaakt worden. Kan zijn dat er geen versie gevonden wordt omdat dat bestandje iets verziekt heeft.

ik zou als de backup in orde is meteen de wachtwoorden etc ook van je ftp verbinding aanpassen, je weet tenslotte niet via welke manier ze in de site gekomen zijn...

Wat ik mij kan indenken is dat de broncode is aangepast. In dit geval zal het plaatsen van een back-up van de database alleen geen effect hebben.

Ik heb de link op het moment niet naar jouw website en zit ook niet achter een computer waar ik mee kan kijken. Maar het klinkt of er een iframe injectie plaats heeft gevonden op de site. Dit betekend dat iemand malafide code heeft toegevoegd. Je zou dit kunnen controleren door de broncode te bestuderen van de pagina welke de waarschuwing geeft.

Indien er een iframe (vaak met de paramaeter verborgen) is geplaatst of je ziet code op welke encodering (bijvoorbeeld eval) is gedaan dan kun je de server herleiden waar de malware vandaan komt en de code verwijderen. Punt blijft dan wel dat er een lek zit in de Joomla installatie of een van de extensions.

Kijk voor kwetsbare extensions hier en voor Joomla beveiliging hier .

Ik heb hier nog een anti-malware scan script gevonden voor Joomla 2.5.

Deze Engelstalige artikelen kunnen ook interressant zijn om te lezen ( Security Checklist en Top 10 Stupidest Administrator Tricks ).

Hier is de algemene link naar de pagina over beveiliging van Joomla zelf.

Overigens kan het altijd handig zijn om websites als www.exploit-db.com in de gaten te houden. Dit is een database met exploits voor beveiligingsexperts.

Als laatste is hier nog een lijst met oudere extensies waarin lekken zijn gevonden.

is het dan beter joomla volledig te herinstalleren en dan de restore doen?
ik heb in ieder geval mijn webhoster gevraag een restore te doen van een maand terug
om te zien wat er gebeurt.

een restore is in de regel alles dus joomla met database etc. dus als de host een werkende backup terugzet zou alles moeten werken

Uiteraard zul je dan wel alsnog moeten uitzoeken waar het lek heeft gezeten en dit dichten. Anders is het wachten op een volgende keer.