Beste SD'ers,

Een client van mij gebruikt Joomla 1.5 en dat heeft hem vandaag de spreekwoordelijke kop gekost, want zijn website is gehackt. In eerste instantie werd de volledige site verwijderd, om vervangen te worden voor een simpele html-pagina! Toen de volledige website weer hersteld werd, sloeg de hacker nogmaals toe, door berichten op de homepage te wijzigen.

Nu weet ik, dat Joomla 1.5 vol lekken zit en dit risico er dus was. Echter verwacht ik, dat ook bij Joomla alle logs worden vastgelegd, maar waar? Het is waarschijnlijk geplaatst aan de hand van het admin-account.

Is er iemand die me, en met name de client, kan helpen? Het gaat dus niet om geinfecteerde pagina's, maar puur om een jongen die even zijn 'macht' achter de pc wil laten zien.

Mijn dank is groot!

Vriendelijke groet,
Joost

Ik weet wel een oplossing voor je client. Een nieuwe site laten bouwen.

Origineel gepost door VincentM

Ik weet wel een oplossing voor je client. Een nieuwe site laten bouwen.

Daar wordt aangewerkt, maar we willen graag weten wie erachter zit.

Origineel gepost door Joost M

Daar wordt aangewerkt, maar we willen graag weten wie erachter zit.

staan er geen ip`s in logs? dan zal wel vpn gebruikt zijn en de herkomst is vaak moeilijk achter te halen

Origineel gepost door ivo van laarhoven

staan er geen ip`s in logs? dan zal wel vpn gebruikt zijn en de herkomst is vaak moeilijk achter te halen

Je bedoelt in de logs binnen de DirectAdmin, of staan er in Joomla? Of is er eventueel een component/exponent om de dader te traceren, door zoiets te installeren en het wachtwoord niet te wijzigen.

Origineel gepost door Joost M

Je bedoelt in de logs binnen de DirectAdmin, of staan er in Joomla? Of is er eventueel een component/exponent om de dader te traceren, door zoiets te installeren en het wachtwoord niet te wijzigen.

als zo domme hacker is dan staan ze in directadmin..

Gebruikersnamen, wachtwoorden, FTP gegevens en dergelijke aanpassen.

Indien je een back-up hebt van de database, nieuwe versie van Joomla (2.5) plaatsen en
database terugzetten.

Controleer je bestandspermissies

Ip van hacker acherhaald en logbestanden bewaard?
bewijs opsturen naar de ISP van de hacker (abuse@)

Als je een goede site hebt, is ondanks dat je security slecht is, je logging wel goed.
Dan kan je in je logging bekijken wie wat doet en ook met daarbij het IP adres, even contact opnemen met de provider over illegale activiteiten en aangifte doen bij de politie. Ik denk dat je daarmee alles gedaan hebt wat in jouw macht ligt.

Origineel gepost door Joost M

Beste SD'ers,

Een client van mij gebruikt Joomla 1.5 en dat heeft hem vandaag de spreekwoordelijke kop gekost, want zijn website is gehackt. In eerste instantie werd de volledige site verwijderd, om vervangen te worden voor een simpele html-pagina! Toen de volledige website weer hersteld werd, sloeg de hacker nogmaals toe, door berichten op de homepage te wijzigen.

Nu weet ik, dat Joomla 1.5 vol lekken zit en dit risico er dus was. Echter verwacht ik, dat ook bij Joomla alle logs worden vastgelegd, maar waar? Het is waarschijnlijk geplaatst aan de hand van het admin-account.

Is er iemand die me, en met name de client, kan helpen? Het gaat dus niet om geinfecteerde pagina's, maar puur om een jongen die even zijn 'macht' achter de pc wil laten zien.

Mijn dank is groot!






Vriendelijke groet,
Joost

je joomla site altijd up to date houden, joomla 2.5.6 is de laatste versie, er komen regelmatig veiligheids updates uit, die zijn niet voor niks.
Aangifte doen en dergelijke heeft geen enkele zin, meetsal zijn het mafkezen die niet een sin nederland zitten, een backup terug zetten en meteen updaten die handel, alle passwords vervangen...en up to date houden.

Waarschijnlijk staat er gewoon een script ergens in Joomla en voert die de handelingen automatisch uit... Dan heb je ook geen IP's

Er is wel degelijk een log te vinden, deze vind je op de FTP server in het mapje "Logs" (nog al logisch lijkt mij)
Daarin staat het bestand error.php, hierin staan foute loginpogingen met het IP adres en wat er fout was erbij.

Verder inderdaad exact wat als is aangegeven, blijf altijd zo recent mogelijk! in de geval Joomla! 2.5.6 dus.

roepen dat je je site up to date houden is natuurlijk helemaal terecht, vaak begrijpen klanten dit zelf niet en wordt er vaak niet geupdate.

wat je zou kunnen proberen losstaand van achterhalen wie het is.

Je joomla proberen te updaten naar 1.6 of 1.7.
in die updates kunnen essentiele beveilingsproblemen zijn opgelost waar door de hacker niet meer gebruik kan maken van deze exploits.

updaten naar 2.5 gaat niet werken daar is joomla waarschijnlijk te verschillend voor, tenzij je weinig tot geen plugins gebruikt.

sterkte ;)

Indien je DirectAdmin gebruikt, ga naar:

http://DOMEINNAAM:2222/CMD_SHOW_LOG?...NNAAM&type=log

En kijk even wanneer er verzoeken waren in het beheer panel van Joomla op de tijdstippen waar de cliënt niet in het beheer panel was.

Origineel gepost door Peter Bin

Indien je DirectAdmin gebruikt, ga naar:

En kijk even wanneer er verzoeken waren in het beheer panel van Joomla op de tijdstippen waar de cliënt niet in het beheer panel was.

Wat wij nog wel is in een site zetten voor joomla is RS Firewall. houd ook niet alles tegen uiteraard maar de simpele hacks met een index aanpassing worden wel tegen gehouden. maar het valt of staat uiteraard met een goede instelling van de firewall.

updaten naar 2.5 gaat niet werken daar is joomla waarschijnlijk te verschillend voor, tenzij je weinig tot geen plugins gebruikt.

Dit klopt niet, Joomla! 1.6/1.7 zijn oud en worden niet meer ondersteund en vanaf Joomla! 1.6 heeft met alles zo opgebouwd dat het upgraden naar een nieuwe versie gaat met een druk op de knop en niet met een migratie.
Bijna alle extensie voor Joomla! 1.6/1.7 zijn ook te gebruiken in Joomla! 2.5.

Dus gewoon upgraden/bouwen in Joomla! 2.5, dat is het veiligst en werkt goed.