Ga Terug   Joomla!Community.eu Forum » Joomla 1.5 » Veiligheid (1.5)
Pagina vernieuwen Tip: 1.5.0 t/m 1.5.5 veiligheidslek: Ik ben gehacked, wat nu?
     


Veiligheid (1.5) Plaats hier je vragen, opmerkingen en tips over de veiligheid van je Joomla! (1.5) site.

Antwoord
 
Onderwerpopties Weergavemodus
Oud 27 september 2008, 12:28   #1
Sander
Teamleider Subsites & Structuur
Gebruikersgroep Amsterdam
 
Sander's Avatar
 
Geregistreerd op: 2 september 2008
Locatie: Weesp
Leeftijd: 24
Berichten: 2.049
Bedankjes gegeven: 417
Bedankjes ontvangen: 579
Exclamation 1.5.0 t/m 1.5.5 veiligheidslek: Ik ben gehacked, wat nu?
Als je helaas te laat bent met je updates en je site is het slachtoffer geworden van een hack via het veiligheidslek in de Joomla! 1.5.0 t/m 1.5.5 versies zijn er een aantal manieren je site weer terug te krijgen.

Vraag je host een backup terug te zetten van het moment dat je website nog goed werkte.
De meeste webhosts maken regelmatig een backup en je kunt ze benaderen met de vraag een backup van een bepaalde datum terug te zetten. Per host verschilt het of je hier al dan wel of niet voor moet betalen.
Na het terugzetten van een backup werk je direct de Joomla! versie bij naar de meest recente versie. Patches zijn te vinden in onze downloadsectie.

Je site werkt nog wel, maar er staat een vreemd bericht op de voorpagina en je kan niet meer inloggen op je administrator paneel.
Dit is een typisch voorbeeld van een gehackte site door het veiligheids lek. Je site is waarschijnlijk redelijk eenvoudig te herstellen door onderstaand stappenplan:
  1. Gebruik de ‘Wachtwoord vergeten?’ functie onder je login box, of ga naar http://www.uwdomein.nl/index.php?opt...ser&view=reset .
  2. Vul uw e-mailadres in en je zult verdere informatie per mail ontvangen.
  3. Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
  4. Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in onze downloadsectie.
  5. Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
  6. Lees de 'Algemene hack opmerkingen' onderaan.
Je gehele site is niet meer zichtbaar en er staat een rare pagina, het administrator paneel is nog wel zichtbaar maar je kunt niet meer inloggen.
Ook dit is te herstellen volgens onderstaand stappenplan.
  1. Zoek de inlog gegevens van je database op en log in via bijvoorbeeld phpMyAdmin.
  2. Open de ‘jos_users’ tabel.
  3. Zoek de gebruikersnaam op welke administrator rechten had, zeer waarschijnlijk ‘admin’ en de eerste regel in de tabel.
  4. Selecteer de regel om te bewerken.
  5. Vul een nieuw wachtwoord in voor het veld ‘password’. Het wachtwoord is gecodeerd en je kunt niet zomaar iets invullen. Gebruik een van onderstaande gecodeerde wachtwoorden.


    wachtwoord = “dit is de code die je invult”

    admin = 21232f297a57a5a743894a0e4a801fc3
    
joomla = 226776f356d7ecf58b60bab12a05d38f

    geheim = e8636ea013e682faf61f56ce1cb1ab5c
  6. Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
  7. Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in onze downloadsectie.
  8. Als je site nu nog niet zichtbaar is op de normale manier is waarschijnlijk het index.php bestand in de rootmap overschreven of het index.php bestand van je template. Het index.php bestand van je rootmap kun je vinden in een volledige dowload van de meest recente Joomla! versie. Voor het index.php bestand zoek een backup op van dit bestand en vervang daarmee het aangepaste index.php bestand van de template.
  9. Zeer waarschijnlijk werkt je site weer normaal.
  10. Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
  11. Lees de 'Algemene hack opmerkingen' onderaan.

Algemene hack opmerkingen
Bij de gehackte sites welke ik tot nu toe heb hersteld zijn een aantal zaken die opvallen wat betreft aanpassingen gedaan door de hackers. Controleer deze onderdelen dus even.
  • De hacker past de index.php in de root map aan -> vervang het index.php bestand uit een recente volledige Joomla download.
  • De hacker past de index.php van de template aan -> vervang het bestand met een backup of origineel template bestand.
  • De hacker installeert een module genaamd mod_sys om te voorkomen dat een site op dezelfde wijze hersteld kan worden als hij gehacked is -> verwijder het eventueel aanwezige component in modules/mod_sys.
  • De hacker maakt een nieuw super administrator account aan -> verwijder onbekende accounts.
  • De hacker plaatst een nieuw content item/artikel -> verwijder onbekende nieuwe artikelen in artikelbeheer.
In ze algemeenheid valt dus te zeggen dat je het een en ander even goed moet nakijken, met name bij de index.php bestanden van de root en template en op onbekende modules, plugins en componenten.

Veel succes met het herstellen van je site, en mocht je nog niet geupgrade hebben doe dit dan direct!!

Sander
Laatst aangepast door Rutger : 9 oktober 2008 om 15:21. Reden: Sticky gemaakt van dit topic door Rutger
Sander is online nu Stuur een bericht via MSN naar Sander Stuur een bericht via Skype™ naar Sander   Met citaat antwoorden
De volgende 8 leden bedanken Sander voor dit nuttige bericht:
Arnout (30 september 2008), bigpete ( 1 oktober 2008), jdegouw (30 september 2008), Jeremy (30 september 2008), jussie (28 september 2008), majrim (14 april 2010), Smoothy (28 oktober 2008), twin2daddy (29 september 2008)
Antwoord

« vorig onderwerp | volgend onderwerp »
Onderwerpopties
Weergavemodus
Lineaire modus Lineaire modus

Berichting Regels
Je mag niet nieuwe onderwerpen maken
Je mag niet reageren op berichten
Je mag niet bijlagen posten
Je mag niet je berichten bewerken
BB code is Aan
Smilies zijn Aan
[IMG] code is Aan
HTML code is Uit
Forumnavigatie


Alle tijden zijn GMT +2. De tijd is nu 11:50.