|
18 aug
2008
|
Joomla site gehacked, wat nu?Geplaatst door Sander Potjer in: Joomla 1.5 |
|
Afgelopen woensdag kwam het ernsitige veiligheidslek in Joomla 1.5.0 t/m 1.5.5 aan het licht. Enkele dagen later duiken de in de diverse Joomla fora erg veel berichten op over gehackte sites.
Ook op MijnJoomlaSite is meerdere malen getracht een hack uit te voeren, zie onderstaande afbeelding. Helaas moet ik de hackers teleurstellen, MijnJoomlaSite draait nog op de 1.0 serie.
Voor al die mensen die gehacked zijn heb ik het een en ander op een rijtje gezet om een Joomla site weer te herstellen. Hieronder een aantal manieren:
Vraag je host een backup terug te zetten van het moment dat je website nog goed werkte.
De meeste webhosts maken regelmatig een backup en je kunt ze benaderen met de vraag een backup van een bepaalde datum terug te zetten. Per host verschilt het of je hier al dan wel of niet voor moet betalen.
Na het terugzetten van een backup werk je direct de Joomla! versie bij naar de meest recente versie. Patches zijn te vinden in onze downloadsectie.
Je site werkt nog wel, maar er staat een vreemd bericht op de voorpagina en je kan niet meer inloggen op je administrator paneel.
Dit is een typisch voorbeeld van een gehackte site door het veiligheids lek. Je site is waarschijnlijk redelijk eenvoudig te herstellen door onderstaand stappenplan:
- Gebruik de ‘Wachtwoord vergeten?’ functie onder je login box, of ga naar http://www.uwdomein.nl/index.php?option=com_user&view=reset.
- Vul uw e-mailadres in en je zult verdere informatie per mail ontvangen.
- Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
- Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in de downloadsectie op DutchJoomla of op JoomlaCode.org .
- Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
- Lees de 'Algemene hack opmerkingen' onderaan.
Ook dit is te herstellen volgens onderstaand stappenplan.
- Zoek de inlog gegevens van je database op en log in via bijvoorbeeld phpMyAdmin.
- Open de ‘jos_users’ tabel.
- Zoek de gebruikersnaam op welke administrator rechten had, zeer waarschijnlijk ‘admin’ en de eerste regel in de tabel.
- Selecteer de regel om te bewerken.
- Vul een nieuw wachtwoord in voor het veld ‘password’. Het wachtwoord is gecodeerd en je kunt niet zomaar iets invullen. Gebruik een van onderstaande gecodeerde wachtwoorden.
wachtwoord = “dit is de code die je invult”
admin = 21232f297a57a5a743894a0e4a801fc3
joomla = 226776f356d7ecf58b60bab12a05d38f
geheim = e8636ea013e682faf61f56ce1cb1ab5c
- Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
- Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in de downloadsectie op DutchJoomla of op JoomlaCode.org .
- Als je site nu nog niet zichtbaar is op de normale manier is waarschijnlijk het index.php bestand in de rootmap overschreven of het index.php bestand van je template. Het index.php bestand van je rootmap kun je vinden in een volledige dowload van de meest recente Joomla! versie. Voor het index.php bestand zoek een backup op van dit bestand en vervang daarmee het aangepaste index.php bestand van de template.
- Zeer waarschijnlijk werkt je site weer normaal.
- Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
- Lees de 'Algemene hack opmerkingen' onderaan.
Algemene hack opmerkingen
Bij de gehackte sites welke ik tot nu toe heb hersteld zijn een aantal zaken die opvallen wat betreft aanpassingen gedaan door de hackers. Controleer deze onderdelen dus even.
- De hacker past de index.php in de root map aan -> vervang het index.php bestand uit een recente volledige Joomla download.
- De hacker past de index.php van de template aan -> vervang het bestand met een backup of origineel template bestand.
- De hacker installeert een module genaamd mod_sys om te voorkomen dat een site op dezelfde wijze hersteld kan worden als hij gehacked is -> verwijder het eventueel aanwezige component in modules/mod_sys.
- De hacker maakt een nieuw super administrator account aan -> verwijder onbekende accounts.
- De hacker plaatst een nieuw content item/artikel -> verwijder onbekende nieuwe artikelen in artikelbeheer.
- ...plaats een reactie met jouw aangepaste onderdeel op de site.
In ze algemeenheid valt dus te zeggen dat je het een en ander even goed moet nakijken, met name bij de index.php bestanden van de root en template en op onbekende modules, plugins en componenten.
Veel succes met het herstellen van je site, en mocht je nog niet geupgrade hebben doe dit dan direct!!
Rita Berghuis
zegt:
 |
Bedankt voor je uitstekende uitleg! Mijn site was gehacked door de index.php van het template te vervangen. Ook was het password van de admin gewijzigd. Ik kreeg overigens mijn admin alleen maar opnieuw aan de praat met het password "admin" (de code van joomla en geheim, lijken niet te werken) Nogmaals heel veel dank, Groet, Rita Berghuis |
|
Alwin Bijvoet
zegt:
|
Dank voor de uitleg. Een tip is wellicht om de Administrator met username admin wel te handhaven maar alle rechten te ontnemen en een nieuwe gebruiker aan te maken met beheersrechten. Op een andere site van mij was het admin password ook gewijzigd, maar verder nog niks. Overigens kun je het werkende password van de admin natuurlijk halen uit de MySql dump die je ongetwijfeld hebt. Vr Groet Alwin |
|
|
lappie
zegt:
|
hoi geen van de wachtwoorden blijkt bij mij te werken heb ze alle drie uitgeprobeerd wat kan ik nu nog gaan doen er zijn ook geen nieuwe accounts aangemaakt |
|
|
Sander
zegt:
 |
@ Alwin, dat is inderdaad een goede oplossing. Sowieso is het verstandig een andere gebruikersnaam dan 'admin' te gebruiken. @lappie, krijg je melding dat het wachtwoord niet klopt of andere foutmeldingen? |
|
|
Jozik
zegt:
|
Ook mijn site is gehacked, waar ik pas na mijn vakantie achter kwam. "DUTCHHACKER4EVER" op de home-page, Eerst "Latinhacker" o.i.d. op de administrator-page, maar nu "Database Error: Unable to connect to the database:Could not connect to MySQL". Ik kan ook niet meer bij phpMyadmin, dus ofwel de hackers hebben de ruime beschikbare tijd gebruikt om de zaak verder te vernielen of mijn provider heeft maatregelen getroffen. Daar probeer ik nu achter te komen. Gelukkig zijn twee andere sites die ik gebouwd heb voor derden (nog) niet getroffen, ik zal ze snel upgraden. |
|
|
masterofoblivion
zegt:
|
Voor "http://www.uwdomein.nl/index.php?option=com_user&view=reset" moet ik eerst ingelogd zijn als Administator. En ik heb geen "wachtwoord vergeten" optie onder mijn loginbox. Daarnaast staan er geen wachtwoorden of vreemde gebruikers in de tabel jos_users... Nog meer suggesties...? |
|
|
masterofoblivion
zegt:
|
Eh, nog even voor de goede orde: op een site kan ik WEL inloggen maar dan krijg ik alleen te zien:"Restricted access". Op de andere site mag ik niet inloggen. Mijn sites zijn slachtoffer geworden van die islam-idioot die niet alleen een beeld vol geweren achterliet maar ook z'n favoriete muziek...  |
|
|
rosa
zegt:
|
dit is ongelooflijk! eindelijk na uren zoeken en proberen vond ik de gouden tip om de wachtwoord opnieuw in te stellen: www.uwdomein.nl/index.php?opti...view=reset) nu heb ik mijn wachtwoord aangepast, maar blijkt dat niet alleen de wachtwoord gehackt was maar ook mijn gebruikers naam  wil kan mij aub hier bij helpen om dit te veranderen? alvast bedankt |
|
|
Sander
zegt:
|
Fijn dat je wat aan het artikel hebt gehad Rosa. Ik gebruikersnaam is via de database aan te passen, daarvoor heb je dus wel toegang tot je database nodig. Ook dat staat deels in dit artikel beschreven. |
|
|
Reinder
zegt:
|
Mijn site lijkt ook gehacked, alsik in google zoek naar "groenpublicaties" en op de link klik krijg ik een trojan voor m'n kiezen. Echter als ik rechtermuis open in nieuw tab blad gaat het wel goed. Heb een vreemde user gevonden en verwijderd, kan verderoveral gewoon in en de site werkt ook goed. Ik heb alle index.php bestanden doorgespit en kan niets vreemds vinden. Heeft iemand endig idee waar dit aan kan liggen? (heb versie 1.5.15 van joomla,maar kan nog niet upgraden als ik het lek nog niet heb gevonden?) |
|
|
