Te ondernemen stappen bij een hack

Dit zijn aanwijzingen om een gehackte site weer schoon te kunnen maken, het is een vertaling van een bericht op forum.joomla.org. Indien er hier nog aanpassingen of fouten in staan dan hoor ik het graag, dan kan dit bericht aangepast worden.

• Geef aan welke versie van Joomla! je gebruikt toen je er voor het eerst achter kwam dat je website gehackt was, dus voor eventuele upgrades. Dit omdat veiligheidsproblemen per (verouderde) versie anders kunnen zijn
• Zorg er voor dat je de laatste versie van Joomla! gebruikt. Verwijder alle Joomla-bestanden in je installatie en bewaar een kopie van je configuration.php bestand.
• Controleer de Vulnerable Extensions List om er zeker van te zijn dat de 3rd party extensions versies die je gebruikt niet op deze lijst staan.
• Volg de tips in de Security Checklist op.
• Scan alle computers met FTP, Joomla super user en admin toegang naar je website tegen malware, virussen, spyware en dergelijke. In de checklist in het bovenstaande punt staan aanbevolen scanners.
• Wijzig alle wachtwoorden en indien mogelijk gebruikersnamen voor het hosting controlepaneel. Wijzig ook de Joomla database gebruikersnaam en wachtwoord.
• Gebruik correcte toegangsniveau voor bestanden en mappen. Deze horen NOOIT op 777 te staan. Normaal is 644 voor bestanden en 755 voor mappen. Het configuration.php bestand hoort op 444 te staan.
• Controleer je .htaccess voor vreemde code (code die niet in het Joomla standaardbestand staat of wat je zelf hebt toegevoegd)
• Controleer de crontab of takenplanner voor onbekende taken.
• Zorg er voor dat anonieme FTP uitgeschakeld is.
• Controleer elk niet-Joomla bestand zoals afbeeldingen, pdf-bestanden, downloads of andere documenten of deze correct zijn.
• Vervang de verwijderde bestanden door:
  - Creëer een nieuwe database en installeer zonder voorbeelddata, zorg er voor dat dit de zelfde versie is als de gehackte site.
  - Installeer de 3rd party extensies (inclusief bv. een op maat gemaakte template) naar de nieuwe Joomla-installatie. (dat zorgt er voor dat de bestanden van de gebruikte extensies ook op de juiste plaats staan)
  - Wijzig de configuration.php van de nieuwe Joomla-installatie om met de oorspronkelijke database contact te kunnen maken.
• Zorg dat in de Joomla gebruikersmanager alle super users en administrators correct zijn.
• Maak een backup en update de installatie naar de huidige versie van Joomla

Alleen door het te verwijderen van alle bestanden uit de installatie, inclusief extensies en templates, kan je er zeker van zijn dat een backdoor die in verschillende bestanden en mappen kunnen zitten verwijderd zijn.

Op het officiële Joomla forum is ook een Forum Post Assistant, dit is een script die alle aanwezige gegevens over de gehackte website verzameld en in een te kunnen plaatsen bericht aanbiedt. Op dit forum kunnen ze dan makkelijker zien waar het probleem kan zitten.

Enkele aanvullende punten:

• Voordat je begint: Maak altijd eerst een backup van de gehackte site (bestanden + database, bijvoorbeeld met Akeeba Backup) voordat je begint met je analyses en opschoon acties. En maak zo spoedig een backup van je server access logfiles. Logfiles worden maar een beperkte tijd bewaard. De backup + logfiles zijn essentieel bij het opsporen van het probleem.
• Documenteer al je bevindingen in een tekst bestand: alle gebruikte software + versies + meest recente versie, mogelijke veiligheidsproblemen, folder + bestandsnamen van hacker scripts. Die kun je gebruiken bij verdere analyse.
• Informeer je hosting provider over het probleem. Deel de documentatie die je van het probleem maakte. Hopelijk heb je een goede pro-actieve hosting provider die jouw feedback gebruikt om hun server (en andere sites op dezelfde server) te scannen / beveiligen.

Nog een aanvulling: ik heb ook weleens gebruik gemaakt van deze online tool om een gehackte Joomla site op te schonen: myjoomla.com

Deze tool maakt bovenstaande tips van Hans en Peter niet overbodig. Mijn ervaring met MyJoomla is vooral dat je daarmee snel kunt lokaliseren welke bestanden geïnfecteerd zijn zodat je die gericht kunt opschonen.

Dit is een dienst waar je voor moet betalen. Voor alle duidelijkheid: ik ben niet de aanbieder van deze dienst. Ook kan ik geen garantie geven dat dit altijd je problemen zal oplossen. Het is één van de hulpmiddelen die je zou kunnen gebruiken, naast maatregelen die je direct zelf kunt nemen.

Edit 24-1-2019
Onlangs weer een site 'onthackt' met behulp van MyJoomla. Heb er een blogje over geschreven op de site van de Webcompagnons:
www.webcompagnons.nl/blog/mijn-site-is-g...ijn-hosting-provider . Hier noem ik de naam MyJoomla overigens niet omdat de blog bedoeld is voor leken, die wil ik niet teveel lastig vallen met terminologie of productnamen.

Altijd gaan voor een complete refresh, alle login info veranderen. Activeer waar je kan 2FA.
Daarna ga aan het werk om te zien of er ergens gemodificeerde code te vinden is.
Altijd backup van je werk bijhouden.

Groeten

zeer goede informatie bedankt voor het schrijven, ik hoop hiervan meer te lezen