Afgelopen woensdag kwam het ernsitige veiligheidslek in Joomla 1.5.0 t/m 1.5.5 aan het licht. Enkele dagen later duiken de in de diverse Joomla fora erg veel berichten op over gehackte sites.

Ook op MijnJoomlaSite is meerdere malen getracht een hack uit te voeren, zie onderstaande afbeelding. Helaas moet ik de hackers teleurstellen, MijnJoomlaSite draait nog op de 1.0 serie.

Vraag je host een backup terug te zetten van het moment dat je website nog goed werkte.
De meeste webhosts maken regelmatig een backup en je kunt ze benaderen met de vraag een backup van een bepaalde datum terug te zetten. Per host verschilt het of je hier al dan wel of niet voor moet betalen.
Na het terugzetten van een backup werk je direct de Joomla! versie bij naar de meest recente versie. Patches zijn te vinden in onze downloadsectie.

Je site werkt nog wel, maar er staat een vreemd bericht op de voorpagina en je kan niet meer inloggen op je administrator paneel.
Dit is een typisch voorbeeld van een gehackte site door het veiligheids lek. Je site is waarschijnlijk redelijk eenvoudig te herstellen door onderstaand stappenplan:

1. Gebruik de ‘Wachtwoord vergeten?’ functie onder je login box, of ga naar http://www.uwdomein.nl/index.php?option=com_user&view=reset.
2. Vul uw e-mailadres in en je zult verdere informatie per mail ontvangen.
3. Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
4. Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in de downloadsectie op DutchJoomla of op JoomlaCode.org .
5. Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
6. Lees de 'Algemene hack opmerkingen' onderaan.
   

1. Zoek de inlog gegevens van je database op en log in via bijvoorbeeld phpMyAdmin.
2. Open de ‘jos_users’ tabel.
3. Zoek de gebruikersnaam op welke administrator rechten had, zeer waarschijnlijk ‘admin’ en de eerste regel in de tabel.
4. Selecteer de regel om te bewerken.
5. Vul een nieuw wachtwoord in voor het veld ‘password’. Het wachtwoord is gecodeerd en je kunt niet zomaar iets invullen. Gebruik een van onderstaande gecodeerde wachtwoorden.

   
   wachtwoord = “dit is de code die je invult”

   admin = 21232f297a57a5a743894a0e4a801fc3
   
joomla = 226776f356d7ecf58b60bab12a05d38f

   geheim = e8636ea013e682faf61f56ce1cb1ab5c
   
   
6. Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
7. Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in de downloadsectie op DutchJoomla of op JoomlaCode.org .
   
8. Als je site nu nog niet zichtbaar is op de normale manier is waarschijnlijk het index.php bestand in de rootmap overschreven of het index.php bestand van je template. Het index.php bestand van je rootmap kun je vinden in een volledige dowload van de meest recente Joomla! versie. Voor het index.php bestand zoek een backup op van dit bestand en vervang daarmee het aangepaste index.php bestand van de template.
9. Zeer waarschijnlijk werkt je site weer normaal.
10. Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
11. Lees de 'Algemene hack opmerkingen' onderaan.

Algemene hack opmerkingen
Bij de gehackte sites welke ik tot nu toe heb hersteld zijn een aantal zaken die opvallen wat betreft aanpassingen gedaan door de hackers. Controleer deze onderdelen dus even.

• De hacker past de index.php in de root map aan -> vervang het index.php bestand uit een recente volledige Joomla download.
• De hacker past de index.php van de template aan -> vervang het bestand met een backup of origineel template bestand.
  
• De hacker installeert een module genaamd mod_sys om te voorkomen dat een site op dezelfde wijze hersteld kan worden als hij gehacked is -> verwijder het eventueel aanwezige component in modules/mod_sys.
• De hacker maakt een nieuw super administrator account aan -> verwijder onbekende accounts.
• De hacker plaatst een nieuw content item/artikel -> verwijder onbekende nieuwe artikelen in artikelbeheer.
• ...plaats een reactie met jouw aangepaste onderdeel op de site.

In ze algemeenheid valt dus te zeggen dat je het een en ander even goed moet nakijken, met name bij de index.php bestanden van de root en template en op onbekende modules, plugins en componenten.

Veel succes met het herstellen van je site, en mocht je nog niet geupgrade hebben doe dit dan direct!!