Ineens twee vreemde Joomla contactformulieren op de site!

Ik kreeg vanmorgen een email van Mijn Domein dat mijn website geblokkeerd was wegens het versturen van enorme aantallen spa vanaf mijn site via "mijn" contactformulier. Maar ik heb mijn formulieren goed beveiligd.

Nadat ik onmiddellijk op de email had gereageerd had ik vanmiddag nog geen bericht, en ben ik met Mijn Domein beginnen te chatten.

Die stuurden mij twee links van contactformulieren die NIET van mij zijn, en die ik ook nooit op mijn website heb geplaatst.

avonlifestyle.nl/index.php?option=com_contact&view=contact&id=1

en

avonlifestyle.nl/index.php?option=com_contact&view=contact&id=2


Ik heb dit ook nooit eerder gehad, en de enige link die ik in mijn menu kan vinden is die van mijn eigen Flexicontact formulier (waar dus de spam niet vandaan komt).

Ik heb ook die menu-item ID's niet in mijn menu's staan (op "Alle Menu-items", zie bijlage).

Kan mijn site gehacked zijn? Of hoe is dit anders mogelijk? Maar nog belangrijker: Hoe los ik dit zo snel mogelijk op?
De medewerker van Mijn Domein heeft de website even weer open gezet zodat ik het kan oplossen, maar ik heb geen idee waar het vandaan kan komen.

Vervolg: Het schoot mij ineens te binnen dat het gezien de link een component moest zijn. Ik had inderdaad een component Contactpersonen, en wanneer ik die uitschakelde waren de formulieren niet meer te zien. (Als je de link aanklikt). Ik heb dus nu die component (een beetje in paniek) gede-ïnstalleerd, maar ik weet eigenlijk niet of die er in hoort?

Ik weet zeker dat ik die niet zelf heb geïnstalleerd, of het moet per ongeluk gegaan zijn samen met een andere component.

Maar ik ben er dus nu nog steeds niet zeker van of ik gehacked ben of niet.

Dit waren trouwens de contactformulieren waar ik gelukkig nog wel even screendumps van heb gemaakt voordat ik het component heb verwijderd.

Ja, je site is gehackt!
Maar het is een hackbot die nu gebruik maakt van jouw contact component
Zet het contact component uit!
Verwijder de contactformulieren (wellicht staat er nog een contactform bij de verwijderde items?)
Plaats een nieuw formulieren component (bv RSforms)
Maak in RSforms een contactformulier
Activeer hidden captcha voor dit formulier (gebruik de hidden captcha van RSforms.
Plaats, als je dit nog niet hebt, een firewall op je website (bv RSfirewall) en blokkeer dat wat je wil blokkeren, of beter nog blokkeer alles en zet alleen de landen open waarvoor jouw website bedoeld is.
Verander het admin inlog ww van je website

Suc6

Fred

Goedemorgen Fred, bedankt voor je antwoord. Ik heb gisteren dat component verwijderd, en de spam is over. Mailcatcher geeft nu aan dat het laatste bericht twee dagen geleden verstuurd is. Dat kan wel kloppen met de tijdlijn waarin Mijn Domein mijn site geblokkeerd heeft.
Zojuist weer gekeken, en er waren geen nieuwe spam mails meer verstuurd (daarvoor om de paar minuten).
Dan zou het toch goed moeten zijn?

Ik heb alleen nu nog wel iets bij de componenten staan wat waarschijnlijk een deel was van dat valse contactformulier, maar wanneer ik daarop klik dan krijg ik een melding dat het ontbreekt. Het staat ook niet meer bij het extensiebeheer.

Met Flexicontact heb ik nooit problemen gehad. Ik heb ze ook op andere websites staan en daar ook geen problemen. Die heb ik ook beveiligd met Google Captcha.

Uiteraard ga ik wel het ww van mijn account veranderen.

Wel raar trouwens dat ik steeds maar 1 bijlage kan versturen nu in het forum. Ik zie ze ook niet staan wanneer ik ze upload, dus hier de volgende:

En deze is van de Mailcatcher

Je hebt waarschijnlijk een demo installatie gebruikt waarin deze contactpersonen hebben gestaan. Je had eenvoudig de aanwezige contactpersonen kunnen verwijderen in plaats van het hele component. Deze contactformulieren zijn standaard niet beveiligd met bv recaptcha waardoor ze misbruikt kunnen worden indien actief.