Site gehackt

Hoi,

Ik las net een onderwerp wat al gesloten is over iemand die niet in het formulier kan komen van backend inloggen. Dit was een verouderde versie van Joomla. Helaas heb ik vandaag het zelfde met een site. Kreeg een waarschuwing van de hoster dat er uitzonderlijk veel emailverkeer was via die site. De site werkte wel maar kan niet in het inloggedeeldte voor de backend komen.
Via FTP zag ik een mappen staan die absoluut niet in een joomlainstallatie thuis horen dus die heb ik gedelete. Maar geen resultaat voor de inlogpagina. Heb gecontroleerd maar schijnbaar is mijn IP geblokt. Hoster neemt nog contact met mij op. Helaas geeft de server waar deze site op staat geen backupondersteuning zodat ik bang ben helemaal opnieuw te moeten beginnen. Heb de gehackte versie wel even gedownload via FTP. Maar wees gewaarschuwd,,ook nieuwe sites zijn niet veilig op dit moment.
Gr
Hans

Meestal wordt een site gehackt doordat er Malware of Spyware op je lokale pc zit.
Ga dus als volgt te werk:

1. Zorg ervoor dat je PC Spy- en Malware vrij is.
2. Zet een goede recente backup terug.
3. wijzig al je wachtwoorden.
4. update je site naar de nieuwste versie van Joomla en vergeet ook niet alle extensies mee te nemen.
5. Maak meteen een nieuwe backup.

P.S. vertrouw ook niet altijd op back-ups van je hoster. Het is zeker ook belangrijk om hier zelf een actieve houding in te nemen.

Hoi Romke,

Ik kan inmiddels weer in de backend, het kan zijn dat de hoster inmiddels mijn blokkade heeft opgeheven maar dat hoor ik nog.
Ik werk met een mac, bijna nooit last van vervelende dingen maar is natuurlijk geen garantie.
Er waren mappen met bestanden via de FTP geupload, en volgens mij een stuk van een WordPress installatie maar die zooi die ken ik niet. Maar mappen die beginnen met wp-includes en wp-content zijn toch wel erg verdacht. Deze stonden in de root van de site. Lijkt me sterk dat dit via mijn computer zomaar kan. Bedenk me nu wel dat er een tweede persoon is (oude man) die ook toegang heeft tot de backend met de zelfde inloggegevens (superuser) die werkt met een windows machine. Zou daar het probleem kunnen liggen?
Ga hem in ieder geval andere user rechten geven want dit is zo niet goed
Gr
Hans

iets heel raars aan de hand,, type ik administrator achter de url dan krijg ik een 404 pagina
Typ ik administrator/index.php lukt het wel
Wat kan hier de oorzaak van zijn?

Als je van jezelf overtuigd bent dat de toegang vanaf jouw pc/mac schoon is, dan is inderdaad de kans groot dat het bij iemand anders vandaan komt die ook toegang heeft.
Als er WP bestand zijn, dan vermoed ik dat diegene zeker ook een ftp-account tot die site heeft, of hij moet het al via mediabeheer van joomla hebben geupload.
in ieder geval is het goed e.e.a. duidelijk met hem te kortsluiten en je er ook van te overtuigen dat die ander zijn pc ook 'schoon' en veilig is.
En dus zelf zorgen voor regelmatige back-ups. Ik gebruik daarvoor altijd akeeba backup.

Een gehackte site schoon je niet op door een paar in jouw ogen verdachte bestanden te verwijderen. Zet of een recente, schone, backup terug of begin opnieuw.

Hoi Astrid,
Ja, weet ik, maar heb net de mededeling gekregen dat een andere site die ik gemaakt heb (staat op de zelfde server) ook gehackt is.
Eerste site wordt nu door de hoster gescand. Ik wacht even af wat daar de conclusies van zijn.
Gr
Hans

Ook een Mac is niet veilig voor virussen. Ook voor de Mac bestaat er Anti Virus-software. Maak daar dan ook gebruik van.
Beperk je blik niet tot je eigen PC of Mac, maar zijn er misschien ook andere mensen die autorisatie hebben om content op de website te beheren?
Dan is het belangrijk dat ook die PC's schoon zijn.