[Joomla] Website gehacked, radeloos..

Het is altijd lastig om achteraf te kijken hoe ze binnen zijn gekomen. Je kan logs gaan doorspitten, maar ik betwijfel in hoeverre je daar wijzer van wordt.
Je hebt een redelijke kans dat ze binnen zijn gekomen door bijvoorbeeld een verouderde plugin o.i.d. Daarom is het up-to-date houden van dergelijke software (en plugins!) belangrijk.
Ik neem aan dat de website op een VM draait. Ik raad je aan om deze VM helemaal weg te gooien. Je weet immers niet wat ze verder hebben geïnstalleerd. Als je zelf onvoldoende kennis hebt voor het hosten van zo'n website, raad ik je aan om dit door een bedrijf te laten doen (die natuurlijk alles voor jou up-to-date houdt).

Probeer eens op myjoomla.com je site een "audit" te geven. Daar zitten tools in om je site te scannen op geinfecteerde bestanden, verkeerde instellingen, kwetsbare extensies e.d.

Voor de eerste website kan je dit gratis doen.

Zijn ze niet gewoon fia de ftp binnen gekomen. Als die unsecure is. Is het bijna gewoon een open deur.

[Voor 37% gewijzigd door pacificocean op 12-06-2016 19:13]

Welke versie van Joomla gebruik je?

Joomla staat een beetje bekend om vulnerabilities en exploits, je hebt geen toegang nodig tot de server via ftp om hier misbruik van te maken. Ik adviseer je om toch de lijst van bestanden na te gaan, je hebt twee mogelijkheden: er zijn bestanden bijgekomen die niet standaard bij joomla horen of er zijn bestaande joomla files aangepast (bijv. een index.php).

Je kan via ftp kijken naar de datum waarop bestanden zijn gewijzigd, je hebt drie weken geleden de site gemaakt, de meeste bestanden zullen dan ook een datum gewijzigd hebben van drie weken geleden, de bestanden die in de afgelopen dagen zijn aangepast, die zullen zeer waarschijnlijk dan geïnfecteerd zijn of niet thuishoren in Joomla.

Je database zal waarschijnlijk niet zijn aangetast en daar zal de meeste configuratie instaan, je kan ook je huidige omgeving verwijderen, met uitzondering van het thema en config file en een nieuwe installatie van Joomla doen.

Je kan proberen je installatie te redden maar de kans dat er backdoors blijven zitten is groot. Dan heb je binnen de kortste keren weer een gehackte website.

Het veiligste is alle bestanden verwijderen en een schone installatie van Joomla doen (zorg dat je de laatste versie hebt van de officiële site). Beperk ook het gebruik van modules en plugins, deze kunnen ook beveiligingslekken bevatten, zeker de minder betrouwbare. Gebruik ook altijd sterke wachtwoorden, het liefst random gegenereerd. Deze kun je beheren met een wachtwoord manager als Lastpass of KeepPass.

Niet aan te raden ... maar toch: als je niet helemaal opnieuw wil beginnen kun je proberen je database van te voren te backuppen en na de schone installatie terug te zetten (overschrijven), zorg dan wel dat je de database nakijkt op rare dingen. Het kan goed zijn dat er code is geinjecteerd in je pagina's of dat er extra gebruikers zijn aangemaakt. Let er op dat je na het terugzetten van de database weer vatbaar bent voor hackers als ze dus daadwerkelijk backdoors hebben geplaatst in je pagina's of gebruikers hebben aangemaakt.

Het is ontzettend belangrijk om de laatste versie te gebruiken en altijd up-to-date te blijven.

Heaget schreef op zondag 12 juni 2016 @ 19:59:
Wat ik er helemaal vergeet bij te zetten, dit zijn volgens Yourhosting de geinfecteerde bestanden:

public_html/*snip*/modules/mod_je_lightbox/js/jscolor/lib.php
public_html/*snip*/administrator/components/com_tags/helpers/page6.php
public_html/*snip*/logs/jcontroller.log.php
public_html/*snip*/libraries/cms/helper/tags.php
public_html/*snip*/libraries/fof/less/parser/db62.php
public_html/*snip*/libraries/rokcommon/Doctrine/Node/Interface.php
public_html/*snip*/libraries/joomla/client/helper.php
public_html/*snip*/libraries/phputf8/ucfirst.php
public_html/*snip*/components/com_rokgallery/assets/js/xml.php
public_html/*snip*/components/com_jce/media/menu21.php

En dit de verdachte bestanden:

public_html/*snip*/modules/mod_je_lightbox/thumb.php
public_html/*snip*/administrator/templates/hathor/html/com_tags/init.php
public_html/*snip*/administrator/components/com_templates/models/template.php
public_html/*snip*/administrator/components/com_templates/controllers/template.php
public_html/*snip*/plugins/system/highlight/highlight.php
public_html/*snip*/templates/jp-classic/warp/systems/joomla/src/Warp/Joomla/Helper/SystemHelper.php
public_html/*snip*/media/promo.php
public_html/*snip*/components/com_users/controllers/inma.php
logs/access_log.1

Je zou even de access.log moeten pakken van de webserver en deze bekijken. Met een beetje geluk is deze niet leeggehaald door de 'hacker' en kan je waarschijnlijk zien of ze via Joomla binnengekomen zijn.

[Voor 14% gewijzigd door RobIII op 23-06-2016 18:41]

Heb je die myjoomla.com audit al gedraaid?

Er is maar 1 remedie: begin opnieuw
Gewoon omdat je geen backup hebt.

Eventuele extra optie: neem duurdere hosting met backup optie

Daarnaast zijn er nog een berg andere belangrijke opties om je website dicht te timmeren als je bij Joomla blijft:

• Gebruik/koop geen theme (zitten ook gaten in)
• Gebruik geen upload extenties zoals: foto gallerij
• Installeer nooit Akeeba
• Beveilig de "administrator" map d.m.v. htaccess op IP en/of Cookie
• etcetera

Kan je niet de bestanden openen in een text editor en vergelijken met de originele bestanden die horen te zijn? Voor hetzelfde geld is het 1 include line dus er extra bij is gestopt. Dan zou je het nog terug kunnen draaien door die overal er uit te halen. En dan het systeem grondig bijwerken en scannen.

• Installeer nooit Akeeba

Want?

Weet niet of het bij Joomla het zelfde is als bij Wordpress maar zo te zien zijn het geen thema bestanden? Kwestie van alles overschrijven met het origineel en alles zou gewoon nog moeten werken.

Daarna op internet even zoeken naar websites die je site kunnen scannen op rotzooi.

DJMaze schreef op maandag 13 juni 2016 @ 12:10:

• Installeer nooit Akeeba

mulleknul schreef op donderdag 23 juni 2016 @ 13:31:
Want?

Als je een backup maakt met Akeeba krijg je hele grote backup bestanden.
Deze bestanden bevatten alles en staan gewoon in een public map.
Omdat 99% van de mensen dat niet snappen worden die backups ook nooit gewist (dus raakt je diskspace op).
Daarnaast heeft Akeeba ook (direct en indirect) beveiligingsgaten.
Anno 2016 zijn er subtielere oplossingen voor backups (nee, niet Phar ivm de grootte).

DJMaze schreef op donderdag 23 juni 2016 @ 16:43:
Deze bestanden bevatten alles en staan gewoon in een public map.

Omdat 99% van de mensen dat niet snappen worden die backups ook nooit gewist (dus raakt je diskspace op).

Dat ze in de public map staan betekend toch niet automatisch dat deze bestanden binnen te harken zijn toch?

Default profiel laat max 3 backups staan.....

mulleknul schreef op donderdag 23 juni 2016 @ 20:56:
Dat ze in de public map staan betekend toch niet automatisch dat deze bestanden binnen te harken zijn toch?

Is die map beveiligd tegen toegang dan?

mulleknul schreef op donderdag 23 juni 2016 @ 20:56:
Default profiel laat max 3 backups staan.....

Je hebt 1GiB ruimte, de website is 400MiB en je mail is 200MiB. Hoe denk jij een backup te kunnen maken?

DJMaze schreef op vrijdag 24 juni 2016 @ 10:50:
[...]

Is die map beveiligd tegen toegang dan?


[...]

Je hebt 1GiB ruimte, de website is 400MiB en je mail is 200MiB. Hoe denk jij een backup te kunnen maken?

Dat is toch geen fout van Akeeba? Je moet het wel even goed instellen....maar dat geld voor iedere backup tool.

En als je backups van je site wilt maken moet je daar ruimte voor hebben, dat is toch geen nieuws. Ik bedoel ik ga er vanuit dat je weet wat je doet en controleert wat er gebeurt.

En ja bij mij is die map wel beveiligd, maar idd dat zal niet bij iedereen zo zijn.

[Voor 3% gewijzigd door mulleknul op 24-06-2016 21:00]

Heaget schreef op zondag 12 juni 2016 @ 18:59:
Beste Tweakers,

Ik heb een tijdje geleden voor mijn vrouw een website gemaakt voor haar bedrijf. Omdat ik verder qweinig kennis van programmeren etc heb heb ik dat in Joomla gedaan, want dat is simpel. Nu zijn we 3 weken verder en is de site gehacked.. Balen, want ik weet namelijk ook echt niet wat ik eraan kan doen om dit te verhelpen. Als ik op de FTP kijk staan alle bestanden er gewoon, hoewel er natuurlijk een corrupt kan zijn. Ik heb yourhosting gebeld maar zij konden er ook niks aan doen en ik heb helaas geen back-up gemaakt (dom dom dom.. ). Zij hebben me wel een lijstje gegeven met bestanden die geinfecteerd en/of verdacht waren. Maar het lijstje is zo willekeurig dat ik me er weinig bij voor kan stellen.

Mijn vraag aan jullie, wat kan ik hieraan doen? [mbr]*snip* werving is hier niet toegestaan, noch
Kan iemand even...?[/]

De website is [mbr]*snip* spam en wie weet verspreidt je site wel virussen...[/] en als je daarheen gaat weet je meteen wat het probleem is.

Voor degene die de oplossing weet voor deze nare situatie word er persoonlijk een taart naar keuze bezorgd!

-Heaget, en vrouw.

Wie is de hostingpartij van de website? Niet goed gelezen... Check mod_security voor Apache en gooi de boel dicht, of stap over naar WP. Er zijn betere CMS'en op de wereld maar daar betaal je ook naar.

[Voor 5% gewijzigd door j-phone op 27-06-2016 01:57]

Opnieuw beginnen en geen joomla gebruiken.

j-phone schreef op maandag 27 juni 2016 @ 01:41:
[...]


Wie is de hostingpartij van de website? Niet goed gelezen... Check mod_security voor Apache en gooi de boel dicht, of stap over naar WP. Er zijn betere CMS'en op de wereld maar daar betaal je ook naar.

Yourhosting, dat heeft ie in het begin al gepost.

Ik had mijn post al ge-edit.

Stap 1 is switchen naar een hoster die z'n klanten wel helpt en backups maakt?

Nah, stap 1 is een standaard installatie van Joomla bij een hoster zelf dichttimmeren.

Nee, stap 1 is geen gebruik meer maken van software die je moet onderhouden. Het is niet dat het niet *kan* werken, maar om dat Heaget de kennis/ervaring niet heeft, of de tijd niet heeft (of allebei) om het te leren / te regelen.

Onderhouden is ook dichttimmeren?

Je kan die geinfecteerde bestanden overschrijven met de originele joomla (zelfde versie gebruiken), echter zitten er ook niet-(originele)joomla tussen zoals db62.php of andere bestanden (met vaak een nummer in de naam). Dan nog is dat geen garantie dat alles weg is, zowiezo alle admin users in het backend controleren en alle updates draaien mocht je e.e.a. opgeschoond krijgen.

Een veel makkelijkere manier is vaak om de template bestanden in een nieuwe joomla installatie te zetten.
Mocht je veel handwerk willen voorkomen dan kan je in een nieuwe omgeving (lokale pc met wamp) dezelfde versie als de huidige besmette jooma installeren, dan de database overzetten en dan de template bestanden (na controle) overzetten. Als dat allemaal weer werkt kan je joomla updaten naar de laatste versie.

johnkeates schreef op maandag 27 juni 2016 @ 02:05:
Nee, stap 1 is geen gebruik meer maken van software die je moet onderhouden. Het is niet dat het niet *kan* werken, maar om dat Heaget de kennis/ervaring niet heeft, of de tijd niet heeft (of allebei) om het te leren / te regelen.

Saywhut? Elke website moet je onderhouden en up to date houden

Ventieldopje schreef op maandag 27 juni 2016 @ 03:23:
[...]


Saywhut? Elke website moet je onderhouden en up to date houden

Ik doelde meer op fully managed oplossingen ;-) Zoals Squarespace, One.com, Cargocollective enz. Hell, zelfs hosted Wordpress Het kost eigenlijk net zo veel als een random Nederlands budget pakketje, maar dan met sitebuilder en fully managed services.

[Voor 16% gewijzigd door johnkeates op 27-06-2016 04:45]

Ik heb zelf ook zo'n probleem gehad.
Oude joemla versie en niet genoeg kennis om hem om te bouwen naar de nieuwste.
Constant spam en geklooi.

Ik ben nu daarom overgestapt naar Jimdo.
Webdesigners zullen er vast van gruwelen maar bevalt me prima. Ik doe alleen het ontwerp en zij de veiligheid. Ze hebben ook enorm veel optie die je in je site kunt plaatsen.

En niet duur dat is ook best lekker. ☺

Ook meermaals last van gehad in het verleden, vooral bij 1.5 versies. Veelal werden default.php files toen geïnfecteerd met scripts die boven in de top van de file gezet worden. Oplossing: Deze vervangen door de standaard files, meestal heb je toch alleen maar gecustomized in de template folder. Ook met htaccess files moet je zo nu en dan oppassen, ik raad dan ook aan deze op CHMOD 444 te zetten of zodat ze niet zomaar beschreven kunnen worden door kwaadwillende bots. Maar goed, ik weet niet exact wat er bij jou aan de hand is, maar gezien het feit dat waarschijnlijk enkel wat bestanden zijn geïnfecteerd lijkt me dit nog wel goed fixbaar. Zou je de site enkel via de front-end aanpassen, dan wellicht FTP-toegang blokkeren. Ook zou ik nooit de FTP-access gegevens in de configuration.php zetten.

MsG schreef op maandag 13 juni 2016 @ 12:12:
Kan je niet de bestanden openen in een text editor en vergelijken met de originele bestanden die horen te zijn? Voor hetzelfde geld is het 1 include line dus er extra bij is gestopt. Dan zou je het nog terug kunnen draaien door die overal er uit te halen. En dan het systeem grondig bijwerken en scannen.

De aanvallen op Joomla kan je eigenlijk vrij simpel automatiseren. Meestal is er een upload folder waar je php of ander uitvoerbare bestanden naartoe mag uploaden. Als dat mogelijk is en die map is via het web te benaderen dan kan je vrij simpel remote code uitvoeren. Meestal zullen er spam scripts geïnstalleerd worden waar je een lijst met e-mail adressen op afstand naartoe kan posten en die vervolgens het mailtje wat in het script verwerkt zit sturen naar de personen op zo'n lijst met adressen.

De code in de bestanden is vaak encrypted zodat je niet in de broncode op functienamen kan zoeken die je in de logs tegen komt (kan wel maar je komt niets tegen). De meeste scripts die ik tegen ben gekomen op slecht beveiligde servers gebruiken de php eval() functie met daarin een base64 encrypted string die als je het decrypt uitvoerbare php code blijkt te zijn. Erg leerzaam om te zien hoe ze dat doen. De bestanden worden vaak in tientallen verschillende mappen geplaatst zodat het bijna geen doen is deze te vinden en onschadelijk te maken (al is het prima mogelijk als je de tijd hebt)

Verder zou ik zeggen, zoek een iemand die wel weet waar hij mee bezig is en die dit voor je kan installeren en onderhouden voor een leuke prijs. Het is goed mogelijk een server met Joomla volledig dicht te trappen door voor een ervaren persoon simpele dingen toe te passen. Het gaat fout zodra je alles 'gewoon' 777 rechten geeft en denkt dat het vervolgens goed is. Ga ook na of je hosting provider wel zo goed is want helaas kom ik nog steeds 'hosting bedrijven' tegen met webservers (veelal met directadmin en (verouderde) phpmyadmin) die op php 5.3 of 5.4 draaien.

Ik heb zo ook eens door een virus wat de FTP-bookmarks van Filezilla kaapte een 'hack' gehad. Echter is het juist prima te doen door gewoon met een zoektool door al die bestanden heen te gaan en te zoeken op die specifieke PHP code. Bij mij ging dat ook om een obfuscated script met eval-functie inderdaad.

• https://www.siteground.com/kb/joomla_hacked/ (zou ik mee beginnen)
• https://www.inmotionhosti...-and-upgrade-for-security
• https://docs.joomla.org/Security_Checklist
• https://vel.joomla.org/ (kwetsbare extensies)
• http://www.whoishostingth...ix-joomla-hacks/#security

Gevonden door wat te googelen. Maar haal ook je pc dus door een bijgewerkte virusscanner en werk je computer en FTP-tool bij naar de laaste versie.

BCC schreef op maandag 27 juni 2016 @ 02:02:
Stap 1 is switchen naar een hoster die z'n klanten wel helpt en backups maakt?

Random hoster hier. Backups (zelfs die ettelijke weken teruggaan) zijn fijn, alleen kan je als hoster moeilijk een juridische verantwoordelijkheid nemen over de data van je klanten. Vandaag zelf nog een klant gehad waarbij de (amper bezochte) website al maanden een stukje malware bevatte. Zover gaan onze backups niet terug.

De hoster heeft ook geholpen hier, ze hebben een lijst aangeleverd met bestanden. Het is niet hun taak om het op te lossen, daar heb je nu eenmaal niet voor betaald toch?

Gewoon ook zelf een backup maken dus.

Alle beveiliging (WAF x2) en dagelijkse scans ten spijt kan je nooit alles tegenhouden. Een CMS kiezen die zelf wat dingen voor je up-to-date houdt en wat brute force beveiliging helpt al enorm overigens.

WhiteDog schreef op maandag 27 juni 2016 @ 23:46:
[...]


Random hoster hier. Backups (zelfs die ettelijke weken teruggaan) zijn fijn, alleen kan je als hoster moeilijk een juridische verantwoordelijkheid nemen over de data van je klanten. Vandaag zelf nog een klant gehad waarbij de (amper bezochte) website al maanden een stukje malware bevatte. Zover gaan onze backups niet terug.

De hoster heeft ook geholpen hier, ze hebben een lijst aangeleverd met bestanden. Het is niet hun taak om het op te lossen, daar heb je nu eenmaal niet voor betaald toch?

Gewoon ook zelf een backup maken dus.

Alle beveiliging (WAF x2) en dagelijkse scans ten spijt kan je nooit alles tegenhouden. Een CMS kiezen die zelf wat dingen voor je up-to-date houdt en wat brute force beveiliging helpt al enorm overigens.

Het punt is dat de hoster wel een hoop dingen kan doen om sites veiliger te maken, op manieren die je als klant niet kan.

WhiteDog schreef op maandag 27 juni 2016 @ 23:46:
[...]

De hoster heeft ook geholpen hier, ze hebben een lijst aangeleverd met bestanden. Het is niet hun taak om het op te lossen, daar heb je nu eenmaal niet voor betaald toch?

Ik zeg ook niet dat de hoster slecht werk levert, maar er zijn genoeg hosters die wel (pro) actief hun klanten helpen met dit soort zaken. En die zijn inderdaad vaak duurder, maar gezien de kennis en kunde van de ts vermoed ik dat hij beter geholpen is bij een dergelijke hoster of iets als de eerdergenoemde hosted wordpress.

laatst ook een gevalletje redirect spam gezien,

hier stonden een aantal <script> dingen in de php files. (2 redirects)
na dit eruit gehaald te hebben goed in je DB kijken of daar extra logins zitten plus alle wachtwoorden veranderen naar erg moeilijk...

[Voor 93% gewijzigd door Paradox op 10-07-2016 10:49]