[JOOMLA] Probleem met terugkomende malware?

Een website die ik beheer heeft sinds enkele maanden zeer grote problemen. Het begon allemaal met een malware infectie waarvan het leek dat ik deze succesvol had verwijderd. Alle checks die ik heb gedaan leken er op te wijzen dat de malware was verwijderd, en Google webmastertools leek dit te bevestigen.

Nu is het echter zo dat er om de zoveel weken een vreemd probleem optreedt welke is op te lossen door alle Joomla bestanden te vervangen. Althans, dat is de makkelijkste manier, omdat ik niet kan traceren in welk bestand het probleem optreed.

Het probleem dat dus om de zoveel tijd terugkomt is dat je in de backend geen enkele query meer kunt uitvoeren (sorteren, zoeken etc). Hierdoor weet ik dat er dus iets is aangetast, waarschijnlijk in verband met de eerdere malwareinfectie, want zou niet weten wat dit anders kan zijn?

Als ik alle Joomla bestanden heb vervangen, is het probleem weer enkele weken weg.

De maprechten zijn allemaal goed met CHMOD ingesteld, ik heb op de website zelf SH404SEF geinstalleerd welke ook voor de beveiliging zorgt. Joomla is sowieso up to date met de laatste versie van 1.5 (1.6 of 1.7 is nog niet mogelijk ivm afhankelijk van bepaalde componenten).

De vraag is nu: hoe kan ik dit probleem voor eens en voor altijd oplossen? Is het een bekend probleem? Of moet ik bij de hostingprovider zijn?

MuddyMagical schreef op woensdag 09 november 2011 @ 09:38:
Eigenlijk geeft je het antwoord zelf natuurlijk al. Het updaten naar de laatste versie gaat waarschijnlijk het lek dichten dat de aanvallers op dit moment misbruiken.

Als dit vanwege enkele componenten niet kan denk ik dat je voor de keuze staat van een veilige website / of die specifieke componenten.

1.5 wordt nog steeds onderhouden betreft security.. 1.6 en 1.7 zijn daarom volgens Joomla zelf nog niet vereist.

@Cartman: De malware die geinstalleerd werd, paste de index.php van de template aan. Er werd een iframe toegevoegd die redirecte naar allerlei troep. Deze heb ik toen aangepast, heb toen alle bestanden van Joomla vervangen, alle CHMOD's gecontroleerd, een speciale .htaccess aangemaakt die tevens dient als firewall, heb SH404SEF beter ingesteld en gebruik nu alle security features die Joomla te bieden heeft..

Dit nieuwe probleem is echter lastiger te traceren. Zelfs als ik al Joomla's bestanden vervang, komt het probleem dus weer terug na een aantal weken. Mijn conclusie is daarom dus ook dat de oorzaak van dit queryprobleem niet direct in een Joomla bestand zit, maar veroorzaakt wordt door een ander bestand dat het Joomla bestand aantast.

Probleem is dat er natuurlijk veel andere bestanden zijn die op de server staan die niet van Joomla zijn. Het is echter heel erg moeilijk om die handmatig te traceren, gezien het feit Joomla zelf al uit meer dan 4200 bestanden bestaat

Omdat de website veel componenten, modules en plugins bevat waarvan ik de mappen niet kan verwijderen omdat ik anders de plugin/modules/componenten sloop, is het vrijwel onmogelijk om precies te zien welk bestand er verantwoordelijk is.

Ram0n schreef op woensdag 09 november 2011 @ 10:24:
Hoe weet je zo zeker dat het een security-issue van Joomla of iets anders op de server betreft? De kans is groot dat een ontwikkel-pc een virus heeft dat je ftp-wachtwoord te pakken heeft gekregen. Op die manier kunnen de bestanden natuurlijk erg simpel worden aangepast, en dat is nog maar één van de alternatieve oorzaken.

Probeer dus, zoals CodeCaster ook al aangaf, je ftp-wachtwoorden aan te passen vanaf een andere pc (waarmee je die ftp-server nog nooit benaderd hebt).

Zal dat gaan proberen.

Heb zojuist een nieuwe security-enhanched .htaccess file geinstalleerd en een Joomla security tool die bijhoudt wanneer er een bestand aangepast wordt. Zodra dit gebeurd, kan ik precies zien wat er is aangepast en zodoende kan ik het probleem dus makkelijker traceren.

Verder denk ik dat de kans heel groot is dat er een component of plugin de oorzaak is Hopelijk helpt deze tool met het traceren in ieder geval.