1. polleke
  2. Update en veiligheidsmeldingen
  3. zondag 17 juli 2016
Hi
2e keer deze week. NU weer iets anders.
in /libraries/fof/inflector is een map geplaatst genaamd wu-westernunion
Daarin allerlei (onleesbare) bestanden.
In de logfile zie ik vanuit diverse ipadressen :
66.102.8.163 - - [17/Jul/2016:08:21:18 +0200] "GET /modules/mod_articles_popular/wu-westernunion/etc/clientlibs/granite/2d705/Connexion%20-%20S'inscrire%20_%20Western%20Union_fichiers/s.swf HTTP/1.1" 404 1528 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11"

Iemand enig idee wat ze hier aan het doen zijn?

Ik heb de map al verwijderd.

gr Jan
Hans
Moderator
Geaccepteerde antwoord Pending Moderation
Met alleen de map verwijderen los je niks op.
Heb je na de vorige keer deze punten ook gedaan?
- login super user aanpassen
- FTP-wachtwoord wijzigen
- hostingwachtwoord wijzigen

Weet je zeker dat je na de vorige keer ook alle hackbestanden verwijderd hebt? Eén bestandje per ongeluk laten staan kan er al voor zorgen dat ze nog steeds toegang hebben.
JDoc-vertaler, JPatch tester, JUG-organisator, moderator
Eigen site: https://www.hierbenikthuis.nl en van mijn loopgroep: https://www.loopgroep-arnhemia.nl
Assistant Team Leader van het Joomla Social Media Team
  1. meer dan een maand geleden
  2. Update en veiligheidsmeldingen
  3. # 1
Geaccepteerde antwoord Pending Moderation
Ja .... maar hoe weet je dat ? dat ja alles hebt gehad

wachtwoorden allemaal aangepast.
  1. meer dan een maand geleden
  2. Update en veiligheidsmeldingen
  3. # 2
Geaccepteerde antwoord Pending Moderation
Alles wat hier gemeld en gelinkt is, is belangrijk om te doen.

Een opmerking: Datums van mappen en bestanden worden in mijn ervaring ook vaak aangepast (soms ver in het verleden), dus daar kan je niet blind op varen.

Wat je kan doen is 1 gratis consult doen bij myjoomla.com, dan krijg je een overzicht van waar de rommel (nog) zit en kan je gericht dingen verwijderen.

Nadat ik dit heb gedaan, doe ik zelf voor klanten die getroffen zijn ook nog dat ik alle bestanden download en dan op een linux machine nog met wat regular expressions zoek in de codeop bijvoorbeeld base64_decode en str_replace e.d.. Dan haal ik vaak nog extra rommel weg. Ik gebruik ook het NeoPi script nog. Voor dit alles heb je wel Linux scripting kennis nodig.
Daarmee krijg ik de site wel brandschoon en installeer dan de pro versie van Admin Tools om e.e.a. dicht te zetten en de php scanner dagelijks te laten scannen, dan ben je er meteen bij als er iets vreemds gebeurt. En kwetsbare extensies opzoeken en updaten of verwijderen als er geen veilige update voor handen is. Maar dat was al genoemd (of naar gelinked).

Wat je ook kan doen is myjoomla.com vragen om de site voor je schoon te maken. Kost wat, maar ze geven geloof ik wel garantie.

Misschien heb je hier wat aan.
  1. meer dan een maand geleden
  2. Update en veiligheidsmeldingen
  3. # 3
Martijn Maandag
Beheerder
Geaccepteerde antwoord Pending Moderation
Sorry dat ik hierop reageer, maar we hebben wat vervelende spammers verwijderd.
Gevolg is echter dat er wat foutboodschappen verschenen. Daardoor was de laatst regerende bezoeker een verwijderde spammer en gaf daardoor een fout. Door hierop te reageren wordt ik de laatst reagerende.
Helaas krijgen een aantal mensen daardoor een bericht dat er iemand heeft gereageerd op een paar topics.
  • Pagina :
  • 1


Er zijn nog geen reacties op dit bericht.
Wees een van de eersten om op dit bericht te reageren!