Waarschuwing
Kan map niet verwijderen. Pad: [ROOT]/cache/com_content
Bericht sluiten

Door: Nico.Categorie: Breda.

Verslag JUG Breda 24 september 2019 - Jan van Kuijk over gehackte sites

Jan van Kuijk begroet ons en geeft meteen aan dat het zijn laatste JUG bijeenkomst is.
Met in totaal 11 man/vrouw aanwezig, worden we welkom geheten en speciaal Rosanna wordt welkom geheten.
Jan van Kuijk, één van de initiatiefnemers van JUG Breda is na vele maanden weer eens terug in Nederland en zal als gastspreker ons de ins en outs vertellen over hoe hij een gehackte Joomla site aanpakt compleet met hoe je er een back-up van maakt.

Jan bij JUG Breda

Een gehackte site
Hoe ga je daarmee aan de gang, Jan legt uit.
Hij maakt altijd een kopie van de site en installeert deze op een ontwikkel domein om daarmee aan de slag te gaan. Vervolgens wordt RSFirewall geïnstalleerd. Je moet in ieder geval een update-sleutel hebben van RSFirewall. De kopie wordt gemaakt met Akeeba Back-up, maar als die niet aanwezig is of de back-up werkt niet, dan zul je handmatig een back-up van de site moeten maken.
Nico van L. vult aan dat het legen van temp dir en cache ook handig is.
In RSFirewall kun je een scan (Perform the system check) doen, die allerlei 'problemen' laat zien.
Ook bepaalde PHP instellingen die niet goed zijn, worden getoond, die zul je dan wel op server nivo moeten aanpassen (indien nodig).
(Intussen wordt de beamer verwisseld voor een betere.)
In dit geval wordt gewijzigd: het FTP password is ingesteld (in de site).
Er zijn 2 malware scripts gevonden, dat valt mee, gemiddeld zijn het 10… 15.
De defecte site is een 3.6.4 versie, en dus behoorlijk verouderd. Nu wordt eerst de site geupdate naar 3.6.5. (en daarna naar 3.6.12.) Check daarna de database. En ontdek wat er voor nieuws aan Joomla is te vinden. Daarna updaten naar 3.6.12.
Vervolgens zijn er veel updates van de diverse extensies, die worden geïnstalleerd.
Dan nog een keer RSFirewall 'systeem controle' draaien. Per 'fout' bestand heb je de keuze ze te bekijken en te vergelijken met een origineel. Ook kun je het originele goede bestand downloaden en vervangen door de 'foute'. Ook je folders en files worden gecheckt.
Akeeba (log)files staan vaak op 666 en worden daardoor als false positive aangeduid. Akeeba doet dit waarschijnlijk om ervoor te zorgen dat het opslaan ook werkt op 'slecht' ingestelde servers. Op zich is dit geen probleem.

Jan start zijn presentatie

Scanning your files for common malware
Daarna wordt er nog 1 file gezien die mogelijk niet goed is. Die file kun je openen en bekijken.
De file maakt deel uit van een module die vlaggetjes vertoond. Een oplossing is om die module opnieuw te installeren en dan meteen de nieuwste versie.
En na het updaten van de module is deze na een 2e scan schoon bevonden.

In 98% van de gevallen is dit de werkwijze en oplossing.
Is het veel meer werk omdat er veel hacks zijn, dan gaat de site naar ome Phil om te onthacken.

Vraag van Jeroen: zowel Google als Norton hebben de site als onveilig bestempeld. Hoe kom je van die melding af.
Nico B. antwoord dat je bij Google een verzoek kunt indienen om de site opnieuw te scannen, als deze klaar is. Hoe je dat met Norton moet doen, zie deze link:
https://support.norton.com/sp/nl/nl/home/current/solutions/kb20090410134005EN

Een gehackte site wat nu
Handmatig verhuizen van een site
Soms is het handmatig verhuizen nodig omdat Akeeba niet werkt (gehackte site of te weinig ruimte op de server om een back-up te maken). Je zult dan op een andere manier een back-up van je files en database moeten maken.
Met Filezilla worden alle folders en bestanden gedownload en lokaal opgeslagen.
Via Directadmin of phpmyadmin wordt de database gedownload.

Vervolgens worden er op een subdomein van de ontwikkelsite alle files geupload. Dan wordt er een database aangemaakt en vervolgens wordt de database geïmporteerd.
In Directadmin kun je ook direct een database importeren, anders doe je het met phpMyAdmin.

Als laatste wordt er nog een programma pad.php geupload, daarin zit een klein stukje code die het pad laat zien op het moment dat je het absolute pad wil laten zien. Dit doe je door pad.php aan te roepen.
** inhoud van pad.php **
!--?php echo $_SERVER["DOCUMENT_ROOT"]
?>

De configuration.php wordt nu aangepast met de juiste paden (temp path en log path) zodat die ook werken. Eventueel moet het password van de database worden aangepast.
.htaccess kan ook nog worden aangepast, bijv. om een oudere php-versie op te roepen. (wordt in dit geval gedaan door php 5.6 te gebruiken specifiek bij deze hosting provider)

Gebruik je Virtuemart dan moet je ook virtuemart.cfg (administrator/components/virtuemart/…) aanpassen.

Edith en Rosanna

Dokter Joomla

Vraag van Cor over het uitlijnen van tekst in een standaard Joomla contact formulier. Het blijkt dat de template de tekst in het form rechts uitlijnt en dat ziet er wat vreemd uit. Een oplossing is om de tekst links uit te lijnen door een override te maken in custom.css.

Afscheid Jan
De 1e JUG breda avond was in een klein hok met 30 man. Jan neemt afscheid omdat hij voor de komende maanden nog niet weet waar hij verblijft, maar Jan kennende zal dat ergens in het buitenland zijn. Jan blijft graag ondersteuning geven indien die nodig is.
Zodra hij weer in NL is komt hij graag weer terug.

JUG Urugay is helaas nog niet van de grond gekomen en zal dat waarschijnlijk ook niet komen, ondanks dat Joomla vroeger verplicht was voor overheids instanties, nu is het veelal WP wat gebruikt wordt.

Edith bedankt Jan voor de afgelopen 7 jaar en overhandigt een overheerlijk pakje echte brabantse worstebroodjes...om verwarring te voorkomen...hieronder een foto van Jan met een oliebol...

Jan aan zijn toetje

Agenda:
Op dinsdagavond 30 oktober is de volgende bijeenkomst en op zaterdag 19 oktober is er in Bussum (kantoor van het PWT-team) een Pizza, Bugs and Fun, aanmelden via de joomlacommunity.nl.

 

1000 Resterende tekens


Deze site wordt beschermd door reCAPTCHA en Google Privacybeleid en Servicevoorwaarden zijn van toepassing.