Skip to main content

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Vermeld in iedere vraag duidelijk:
  1. De versie van Joomla! 3.X die je gebruikt
  2. De volledige url van je website indien mogelijk.
  3. De versie van de extensie waar de vraag over gaat.

Gehackt en span class

Gehackt en span class

27 mrt 2015 19:59
#13

Ik verwacht eigenlijk een handige oplossing maar blijkbaar is het niet mogelijk.

Klopt.
Het op weg helpen is je gegeven in bericht #2 ;)
Groeten, Jelle
Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum eens.
Vragen uitsluitend via dit Forum.		Is je vraag opgelost? Dan kan je hem zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Jelle
  • Jelle's Profielfoto
  • Algemeen Moderator
  • Algemeen Moderator
  • Berichten: 13590

Gehackt en span class

27 mrt 2015 21:42
#14
Alles gedaan wat in bericht 2 stond behalve een backup terug zetten. Deze heb ik niet tenminste niet zonder deze gehackte versies. Resultaat blijft dat in zo wat elke pagina de span class staat. (de meeste onzichtbaar op de website en alleen via de broncode zichtbaar)

Is het niet mogelijk om een span class te verwijderen ergens?
  • Beddesprei
  • Beddesprei's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 24

Gehackt en span class

27 mrt 2015 22:03
#15
Er is geen quick fix voor het verwijderen. Waarschijnlijk gaat het hier om base64 code, die niet herkenbaar is als span. Enige wat je nog kunt proberen zijn mijn laatste 2 suggesties uit #7.
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37115

Gehackt en span class

27 mrt 2015 22:40 - 28 mrt 2015 17:01
#16
Ik heb een php script aangemaakt en krijg bijvoorbeeld deze meldingen:

./libraries/kunena/external/lessc/lessc.php -> contains preg_replace
./libraries/kunena/controller.php -> contains HTTP_REFERER
./libraries/legacy/request/request.php -> contains $_REQUEST[
./libraries/rokcommon/RokCommon/Header/Wordpress.php -> contains create_function(
./libraries/rokcommon/RokCommon/Browser.php -> contains HTTP_USER_AGENT


Dit is slechts een zeer klein gedeelte. Het meeste komt voor zijn: contains preg_replace

Maar nu houdt mijn kennis op. Wat kan ik aan deze php bestanden aanpassen?

Edit Jelle.D: Ik heb het citaat tussen quotetags geplaatst, volgende keer graag zelf doen.
Laatst bewerkt 28 mrt 2015 17:01 door Jelle.
  • Beddesprei
  • Beddesprei's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 24

Gehackt en span class

28 mrt 2015 15:15 - 28 mrt 2015 15:24
#17
Ik heb ook wel wat gevonden in php bestanden zoals:
Code:
$table = preg_replace('/^'.$this->db->getPrefix().'/', '', $table); $major = preg_replace('/(\d+.\d+)\..*$/', '\\1', $version);

Maar hoe herken je nu wat een gehackt bestand is?

Edit Peter: Ik heb de code tussen codetags geplaatst, volgende keer graag zelf doen.
Laatst bewerkt 28 mrt 2015 15:24 door Peter.
  • Beddesprei
  • Beddesprei's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 24

Gehackt en span class

28 mrt 2015 17:54
#18
Zo niet in ieder geval. Als ik zou zoeken dan zou ik eerder zoeken naar:
Code:
eval(base64
Groetjes, Astrid
Gebruik de zoekfunctie van dit forum voordat je een nieuwe vraag plaatst.
Vragen uitsluitend via dit forum.
yndi.nl - kvk 17157725 		Is je vraag beantwoord? Dan kan je het draadje zelf sluiten .
Wil je Joomla!NL steunen? Dat kan met een donatie.

  • Astrid
  • Astrid's Profielfoto
  • Moderator + Technisch team
  • Moderator + Technisch team
  • Berichten: 37115

Gehackt en span class

29 mrt 2015 14:15
#19
Op de zoekopdracht eval(base64 heb ik 5 bestanden gevonden: 2x een jpg bestand en 3x een php bestand. De foto's heb ik inmiddels verwijderd. En de 3 php stonden in de map tmp en zijn nu ook verwijderd. Het betreft een installatie van een module chronocontact die ik in een vorige versie had geïnstalleerd. Deze module gebruik ik niet meer. De gehackte melding blijft nog wel steeds zichtbaar in de broncode. Wat kan ik nu proberen?
  • Beddesprei
  • Beddesprei's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 24

Gehackt en span class

29 mrt 2015 19:26
#20
Als de melding nog zichtbaar is in de broncode, geeft dat mij een idee dat nog niet alles gezuiverd is. Heb je misschien. Google analytics aan je site "gekoppeld"?

Zo ja dan kun je de Google techniek om je site te indexeren ook gebruiken. Bij eventuele verdachte files, geeft Google dan een melding. WEL is het zo dat Google ook kan besluiten je site op "zwart" te zetten. Althans een melding bij de zoekmachine dat jou site verdacht is.
  • esorone
  • esorone's berichtenfoto
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 22
Moderators: PeterJuliank92JelleRomke
Tijd voor maken pagina: 0.844 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie