opgelost Siteblok door SURBL.org- Malicious files in originele Joomla

Hallo,

Ons domein is geblokkeerd op SURBL.org. Hierdoor wordt ons domein als Spam gezien.

SURBL wil ons niet op de whitelist zetten omdat ze aangeven dat er (na security updates en audit) nog steeds "hacked files" op onze site staan. Ze willen helaas niet aangeven om WELKE files het gaat. Heel irritant.

Door een check bij zulu.zscaler.com/ krijg ik telkens dezelfde files in beeld, echter zijn een aantal van de files gewoon Core files van Joomla. Ik heb deze files ook voor de zekerheid nog een keer overschreven vanuit de originele joomla-install file. Maar nog steeds worden deze files als Malicious gezien (door zulu). Hieronder het resultaat:

Edit WoodyF4u: Ik heb om veiligheidsredenen de links naar je site verwijderd.

Wie kan ons helpen. Ik kom niet van de blocklist af

PHP 5.4.29, joomla 2.5.28

Hoi,

Links naar een geïnfecteerde site plaatsen is niet zo handig. Ik heb een mod gevraagd ze te verwijderen.
Je site opschonen en opnieuw laten beoordelen is in het kort de enige methode om van de blacklist af te komen.

Als zowel Joomla als de gebruikte extensies allen up-to-date zijn en je zeker weet dat je geen gekke map en bestandsrechten (777) gebruikt hebt , spreek je hoster dan eens aan.
Deze hoort alles immers dicht te hebben staan.
Ook kunnen zij zien in de log files van de server hoe de infectie tot stand heeft kunnen komen.

Kom je er niet uit, overweeg dan om een expert erbij te halen.

Als je er wat geld voor over hebt, dan kun je vragen of het team van myJoomla het voor je oplost.
Zij zijn gespecialiseerd in het opschonen van gehackte sites.

Zo te zien staat je site er niet op, dus er moet iets anders aan de hand zijn.

Hier ook geen blacklist signalen. En hier lijkt er ook niets mis te zijn.

Hij staat er toch echt op

Edit Astrid: Ik heb je link verwijderd. Graag geen links plaatsen naar mogelijk geïnfecteerde sites.

Ja. Ik had op IP getest en dat staat dus niet op hun blacklist, maar de domeinnaam wel en dat is echt heel vreemd.

En de rare reacties (meestal automated e-mails) van Surbl.org zijn ook erg vreemd. Wat ik ook vreemd vind is dat de joomlaCore files ook als gehacked worden beschouwd door die Zulu site. Nog vreemder is dat de checker deze files "ziet" die al lang verwijderd zijn. Ook na legen van joomla cache en browser historie.

Dit is wel erg zuur zo vlak voor de kerst.

Neem eens contact op met je hoster en vraag of zij hier een oorzaak voor weten.

Al gedaan, ze hebben de hele site gescand maar niets gevonden

Ik heb een paar concessies moeten doen zodat ik wat componenten (die wat ouder waren) kon verwijderen. Alles geupdate naar 2.5.28 en PHP 5.4.29.

Het enige wat ik me kan bedenken is om een blanke "under construction" pagina te hosten

Het hoeft niet persé uit je site te komen. Wanneer er teveel SPAM mails van je domein komen, dan kun je ook op de lijst komen.
De oorzaak daarvan kan dan zowel lokaal als op je host liggen.
Huiswerk doen dus, de oorzaak isoleren en maatregelen nemen.

Een van de laatste reacties van Surbl.org:

There is still more hacked files




Ticket Details

---

Ticket ID: LHF-788-25307
Department: Whitelist
Type: Removal Request
Status: Closed

Onderstaande files worden (door Zulu) nog steeds als malicious gezien. Maar als ik een andere willekeurige Joomla site scan, komen deze files niet naar voren.

Mijn vraag: kan ik de files die in de /system/js map uit de onderstaande lijst omzeilen? Of zijn het echt core files? Zoals eerder gezegd heb ik ze al een keer overschreven vanuit een vers Joomla-installatie bestand.

/media/system/js/mootools-core.js
/media/system/js/core.js
/media/system/js/caption.js
/media/system/js/mootools-more.js
/templates/beez_20/javascript/md_stylechanger.js
/templates/beez_20/javascript/hide.js
/templates/beez_20/favicon.ico