1.5.0 t/m 1.5.5 veiligheidslek: Ik ben gehacked, wat nu?

[Superdaantje]

Als je helaas te laat bent met je updates en je site is het slachtoffer geworden van een hack via het veiligheidslek in de Joomla! 1.5.0 t/m 1.5.5 versies zijn er een aantal manieren je site weer terug te krijgen.

Vraag je host een backup terug te zetten van het moment dat je website nog goed werkte.
De meeste webhosts maken regelmatig een backup en je kunt ze benaderen met de vraag een backup van een bepaalde datum terug te zetten. Per host verschilt het of je hier al dan wel of niet voor moet betalen.
Na het terugzetten van een backup werk je direct de Joomla! versie bij naar de meest recente versie. Patches zijn te vinden in onze downloadsectie.

Je site werkt nog wel, maar er staat een vreemd bericht op de voorpagina en je kan niet meer inloggen op je administrator paneel.
Dit is een typisch voorbeeld van een gehackte site door het veiligheids lek. Je site is waarschijnlijk redelijk eenvoudig te herstellen door onderstaand stappenplan:

1. Gebruik de ‘Wachtwoord vergeten?’ functie onder je login box, of ga naar http://www.uwdomein.nl/index.php?opt...ser&view=reset .
2. Vul uw e-mailadres in en je zult verdere informatie per mail ontvangen.
3. Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
4. Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in onze downloadsectie.
5. Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
6. Lees de 'Algemene hack opmerkingen' onderaan.

Je gehele site is niet meer zichtbaar en er staat een rare pagina, het administrator paneel is nog wel zichtbaar maar je kunt niet meer inloggen.
Ook dit is te herstellen volgens onderstaand stappenplan.

1. Zoek de inlog gegevens van je database op en log in via bijvoorbeeld phpMyAdmin.
2. Open de ‘jos_users’ tabel.
3. Zoek de gebruikersnaam op welke administrator rechten had, zeer waarschijnlijk ‘admin’ en de eerste regel in de tabel.
4. Selecteer de regel om te bewerken.
5. Vul een nieuw wachtwoord in voor het veld ‘password’. Het wachtwoord is gecodeerd en je kunt niet zomaar iets invullen. Gebruik een van onderstaande gecodeerde wachtwoorden.

   
   wachtwoord = “dit is de code die je invult”

   admin = 21232f297a57a5a743894a0e4a801fc3
   
joomla = 226776f356d7ecf58b60bab12a05d38f

   geheim = e8636ea013e682faf61f56ce1cb1ab5c
   
   
6. Log in met je nieuwe wachtwoord op www.uwdomein.nl/administrator om te controleren of het werkt.
7. Werk je site direct bij naar de meest recente Joomla! 1.5 versie. Patches zijn te vinden in onze downloadsectie.
8. Als je site nu nog niet zichtbaar is op de normale manier is waarschijnlijk het index.php bestand in de rootmap overschreven of het index.php bestand van je template. Het index.php bestand van je rootmap kun je vinden in een volledige dowload van de meest recente Joomla! versie. Voor het index.php bestand zoek een backup op van dit bestand en vervang daarmee het aangepaste index.php bestand van de template.
9. Zeer waarschijnlijk werkt je site weer normaal.
10. Maak een laatste controle ronde door de mappen op de server of je vreemde dingen tegen komt.
11. Lees de 'Algemene hack opmerkingen' onderaan.

Algemene hack opmerkingen
Bij de gehackte sites welke ik tot nu toe heb hersteld zijn een aantal zaken die opvallen wat betreft aanpassingen gedaan door de hackers. Controleer deze onderdelen dus even.

• De hacker past de index.php in de root map aan -> vervang het index.php bestand uit een recente volledige Joomla download.
• De hacker past de index.php van de template aan -> vervang het bestand met een backup of origineel template bestand.
• De hacker installeert een module genaamd mod_sys om te voorkomen dat een site op dezelfde wijze hersteld kan worden als hij gehacked is -> verwijder het eventueel aanwezige component in modules/mod_sys.
• De hacker maakt een nieuw super administrator account aan -> verwijder onbekende accounts.
• De hacker plaatst een nieuw content item/artikel -> verwijder onbekende nieuwe artikelen in artikelbeheer.

In ze algemeenheid valt dus te zeggen dat je het een en ander even goed moet nakijken, met name bij de index.php bestanden van de root en template en op onbekende modules, plugins en componenten.

Veel succes met het herstellen van je site, en mocht je nog niet geupgrade hebben doe dit dan direct!!

[interwebdesign]

Beste, Mijn site is gehackt, frontend werkt hij nog, er staan wel enkel rare tekens op. Via uw uitleg heb ik terug kunnen inloggen en wou natuurlijk direct van 1.5.5 naar 1.5.6 gaan maar mijn ftp programma kreeg geen toegang tot de server, heb verscheidene malen geprobeert maar is niet gelukt. Omdat Marijke schreef dat je tijdelijk het veiligheidsprobleem kunt oplossen door het laagste nummer niet meer backend toe te laten heb ik een ander lid (mijn echtgenoot) full administrator gemaakt en mijn profiel terug gebracht naar gewoon ingelogd lid. Het probleem is nu dat ik geen inlogscherm meer krijg bij mijnsite/administrator en kan dus helemaal niet meer backend.
Wat is de oorzaak hiervan en is dit oplosbaar.
mvg Tom

[interwebdesign]

Oeps, is opgelost
Heb gewoon mijn ie afgesloten en terug opgestart en dan kon ik terug backend inloggen.(heb ondertussen terug toegang tot mijn server via ftp, probleem was mijn avg Firewall) Dus 1.5.6 staat erop.
Bedankt aan de snelle oplossing van dit veiligheidslek en doe zo verder.
mvg Tom

[tedsluis]

Iedereen bedankt voor de oplossing. Mijn site (www.techbricks.nl) is weer in de lucht en gepatched!

Ik heb nog een paar aandachtspuntjes voor degene die gehacked zijn:

Accounts en rechten
Mijn admin wachtwoord was gewijzigd. Ik had gelukkig nog een ander account waarmee ik kon inloggen en alle rechten had, dacht ik. Ik zag in gebruikersbeheer alleen mijn twee accounts, maar ik kon het wachtwoord niet wijzigen. Wat bleek? Beide accounts waren Administrator en dus niet langer meer Super Administrator. Alleen Super Administrator kan wachtwoorden wijzigen (en accounts aanmaken). Er was geen Super Administrator account meer.
Met PHPAdmin kwam ik er achter dat er een nieuw Super Administrator account aangemaakt was. Kijk daarvoor in de tabel jos_users. Bij het account stond het email adres van de hacker!!!
Met PHPadmin kun je een account wijzigen van Administrator naar Super Administrator. (Op dezelfde wijze zoals Sander hierboven beschreef voor het wijzigen van je wachtwoord).

Plugins
Verder kwam ik er achter dat er 3 plugin's actief waren, niet dat eerder niet waren: Content-Multi-Ads, JoomlaAutoAds en GoogleAdsenseSection.
Er was daardoor reclamecontent op mijn site te zien, waar ik niet op te wachten zat. Ik heb de plugins weer uitgeschakeld.

Hackers lijst
Verder blijk ik gehacked te zijn door iemand die er een topsport van maakt. Er blijkt een site te zijn waar dit soort gasten melden welke site's ze allemaal hebben neer gehaald: http://www.zone-h.org/component/opti...cks/Itemid,45/ Mijn site stond daar dus ook bij.

Sterkte met het oplossen van de problemen.

Ted

[Machiel]

Bedankt voor ieders informatie en help. Ik heb mijn site weer up and running. Een tip die ik nog kreeg van sander was om voor de zekerheid heel 1.5.6 eroverheen te zetten om er zeker van te zijn dat alle bestanden kloppen.

Nogmaals iedereen hartelijk dank.

Groeten
Machiel van den Brink

Sander bedankt voor je uitleg hier. Weet zeker dat veel mensen hier mee geholpen zijn!!!
Zeker een paar pluspunten waard!!!

[pkaim]

Helaas waren mijn beide sites ook ge-hackt. Bij de eerste site had men het admin wachtwoord aangepast en een tekst neer gezet die aangaf hoe trots ze waren op deze hack. De tweede site (10 minuten geleden) gehackt. Nu door een turkse hacker. Het doel van deze hacks is blijkbaar om aan te tonen dat er iets niet veilig is in je site.

Ik zou wel eens willen weten hoe deze mensen dit voor elkaar krijgen. Ik zag namelijk geen gewijzigde bestanden (datum). Ik neem aan dat het iets is met SQL of PHP maar daarvoor gaat mijn kennis niet diep genoeg. Als iemand mij eens zou willen uitleggen in een PM of zo hoe ze dit doen.. dan weet ik wat ik moet beveiligen.

Mijn complimenten voor de snelle actie van jullie om een patch uit te brengen. Die staat er nu op en ik hoop dat het nu weer rustig blijft.

[MarijkeS]

Om veiligheidsredenen zullen we geen uitleg geven over hoe het gedaan is.
Je kunt de technische gegevens over de oplossing hier vinden:
http://developer.joomla.org/security...tionality.html

[hophop]

Ik heb hetzelfde probleem gehad. Nu heb ik hem geupdate naar de versie 1.5.6. Echter wat ik voor voorpagina selecteer ik blijf die gehackte voorpagina houden. Iemand een idee hoe ik weer mijn eigen voorpagina kan selecteren en deze site weg kan halen ? ( kan ik nog meer dingen nalopen zodat ik zeker weet dat de site weer het "oude" is ?

Alvast enorm bedankt.

Gr,

Sander

[hophop]

* UPDATE*
Sorry niet goed gelezen, nu de template opnieuw geupdate en alles werkt weer. Heeft iemand nog wel een goeie tip om de site na te kijken op vreemde dingen ? wederom bedankt.