Toon posts:

Mijn website geblokkeerd door phishing, wat te doen?

Pagina: 1
Acties:

Vraag

dinsdag 24 januari 2017 11:09

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Afgelopen vrijdag ontving ik een e-mail dat Netcraft in het kader van het abuse204.nl ontdekt heeft dat er een phishing aanval vanaf een pagina van mijn website plaatsvond (http://www.zaantours.nl/t...ure/espace-client.php?URL). Hierna was mijn website onbereikbaar en werkte ook mijn e-mail niet meer. Ik heb hiervoor contact opgenomen met mijn hostingprovider (Domeinwinkel). Deze antwoordde mij later op de dag dat de website offline is gehaald wegens phishing maar omdat het al bijna weekend was zou hier maandag pas verder naar gekeken kon worden.
Maandag ben ik gebeld door Domeinwinkel. Hierbij is gezegd de website te deblokkeren zodat ik gelijk op zoek kon naar de bewuste map om deze te verwijderen en zodoende de phishing te stoppen.
Echter kreeg ik korte tijd later de melding terug dat zodra de blokkering werd opgeheven het weer "helemaal los gaat", waardoor de website gelijk weer geblokkeerd moest worden. De medewerker van Domeinwinkel heeft het probleem doorgestuurd naar de technische dienst en wacht op een update welke hij mij ook dan zal laten weten.
Voor mijn website gebruik ik Joomla maar ik kan hier dus niet bij omdat mijn website dus geblokkeerd is. Via mijn website krijg ik boekingen maar vooral via e-mail wat ik nu dus al 4 dagen niet kan bereiken. Nu is mijn website geen Bol.com maar dit gedoe kost me wel boekingen en door geen e-mail kan het me nog meer gaan kosten. Kan ik zelf iets doen of moet ik wachten op antwoord van mijn hostingprovider?

Alle reacties

dinsdag 24 januari 2017 11:12

Acties:
  • 0 Henk 'm!
  • .Maarten
  • Registratie: Januari 2011
  • Laatst online: 02:36

.Maarten

Als je nog toegang hebt via bijvoorbeeld FTP kun je alle bestanden eraf kopiëren en kijken wat er voor zorgt dat het mis gaat. Of ze gewoon vertellen dat ze hem helemaal leeg mogen maken en dan een gecontroleerde backup terugzetten. En daarna meteen alle plugins enzo updaten.

dinsdag 24 januari 2017 11:29

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Dank!
Ik heb momenteel geen enkele toegang meer. Ik weet ook niet of ik een backup mogelijkheid heb: m'n neef heeft jaren geleden m'n website gebouwd en ikzelf "beheer" de inhoud ervan middels Joomla.
Het voorstel van m'n hostingprovider was dan ook de blokering op te heffen en er direct in te gaan om het probleem te vinden en te verwijderen, echter zodra de blokkering eraf start de phishing weer.

dinsdag 24 januari 2017 11:32

Acties:
  • 0 Henk 'm!
  • mcDavid
  • Registratie: April 2008
  • Laatst online: 02-10 08:45

mcDavid

Wat Maarten zegt. Je zult toch op zijn minst nog SFTP- en database toegang moeten hebben, anders kun je ook niets fiksen. Het lijkt me toch dat je provider gewoon de mogelijkheid moet hebben je website te blokkeren zonder gelijk je hele account af te sluiten. Zo niet dan kun je zelf inderdaad niets doen en ben je afhankelijk van je provider om je website ofwel te fiksen, ofwel helemaal te verwijderen zodat je 'm zelf weer kunt uploaden (uiteraard nadat je alle problemen gefixt en je CMS en plugins geupdate hebt, anders ben je zo weer de sjaak).

Daarnaast is het ook wel ouderwets dat je in het weekend geen support kunt krijgen.

dinsdag 24 januari 2017 11:51

Acties:
  • 0 Henk 'm!
  • Brabix
  • Registratie: April 2012
  • Laatst online: 30-06 17:49

Brabix

Verwijderd schreef op dinsdag 24 januari 2017 @ 11:29:
m'n neef heeft jaren geleden m'n website gebouwd en ikzelf "beheer" de inhoud ervan middels Joomla.
En hier zit (waarschijnlijk) dan ook de kern van het probleem. Een jaren oude Joomla installatie die dus zo lek als een mandje is.

Mijn advies? Begin maar vast met het bouwen van een nieuwe website. Het updaten van een jaren oude joomla versie naar een moderne joomla versie is bijna niet te doen. Misschien je neef even bellen of hij een nieuwe website kan maken voor je?

Dit in de toekomst voorkomen? Zorg er dan in ieder geval voor dat je joomla installatie bijgewerkt blijft. Ik wil hier niet in discussie gaan of joomla een goed framework voor een website is o.i.d. dat moet ieder voor zichzelf weten. Je moet echter bij dit soort software wel zorgen dat hij bijgewerkt blijft.

Ben je (financieel) afhankelijk van de boekingen die via deze website binnen komen? Schakel dan een professional in die je website voor je bijhoud (nee, niet de inhoud dat kun je prima zelf, maar de software up to date houd).

dinsdag 24 januari 2017 12:14

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Dank.
Om m'n website zelf aan te passen log ik zelf regelmatig in en volgens mij heb ik ook de meeste meldingen van "updates" in Joomla gedaan in deze omgeving, ik heb dus nog hoop dat dit nog kan. Ik wacht nog op reactie van m'n neef.
De meeste boekingen lopen via andere boekingssites. De notificaties daarvan krijg ik echter per e-mail die ik nu ook niet binnen komt. Bij de meeste (en grootste) boekingsites kan ik ook inloggen om m'n boekingen te bekijken. Echter het meeste (rechtstreekse) klantcontact loopt via e-mail die ik momenteel ook niet kan gebruiken.

dinsdag 24 januari 2017 13:10

Acties:
  • +1 Henk 'm!
  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 11-10 12:25

Qwerty-273

Meukposter

***** ***

Het is wel raar dat wanneer je hoster je website op non-actief zet, ze dan ook gelijk maar heel je account suspenden (ten minste daar ga ik van uit). Je mail loopt normaal gesproken via andere servers dan die je www hosten. Dat zou normaal gesproken los van elkaar moeten zijn.
Beetje knullige actie in dat opzicht.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Resolving hostname...
Connecting...
Connection: opening to mail.zaantours.nl:25, timeout=300
Connection: opened
SERVER -> CLIENT: 220 s1.domeinwinkel.nl ESMTP Exim 4.80.1 Tue, 24 Jan 2017 13:05:28 +0100
SERVER -> CLIENT: 220 TLS go ahead
CLIENT -> SERVER: MAIL FROM: test@tools.com
SERVER -> CLIENT: 250 OK
CLIENT -> SERVER: RCPT TO: info@zaantours.nl
SERVER -> CLIENT: 550 "Unknown User"
SMTP ERROR: RCPT TO command failed: 550 "Unknown User"
CLIENT -> SERVER: QUIT
SERVER -> CLIENT: 221 s1.domeinwinkel.nl closing connection
Connection: closed
2017-01-24 12:05:30 SMTP Error: The following recipients failed: info@zaantours.nl: "Unknown User"
Message sending failed.

Lijkt er op dat je mx record nu wijst naar een "dummy" server van je hoster waar men dus geen mail op ontvangt, dus alleen puur een domain parking idee.

Over het genoemde php bestand, waarschijnlijk staan er rechten niet goed op deze map, of is het via een lek cms / plugin mogelijk om op die locatie deze bestanden neer te zetten.
Deze specifieke phising php komt op verschillende plekken terug:
http://www.phishtank.com/phish_detail.php?phish_id=3200716

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

dinsdag 24 januari 2017 13:11

Acties:
  • 0 Henk 'm!

Verwijderd

Kijk ook op: https://safeweb.norton.com/report/show?url=zaantours.nl (kijk bij Threat Report):

Phishing attacks vanaf: ../tmp/logs/facture/espace-client.php

dinsdag 24 januari 2017 13:36

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb Domeinwinkel nogmaals gemaild met de vraag of m'n e-mail weer gebruikt kan worden ondanks dat ik nog geen reactie op de e-mail van gistermiddag heb gekregen... Inmiddels ook contact gehad met m'n neef die er vanavond naar gaat kijken.

[ Voor 12% gewijzigd door Verwijderd op 24-01-2017 13:37 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq