Te ondernemen stappen bij een hack

Dit zijn aanwijzingen om een gehackte site weer schoon te kunnen maken, het is een vertaling van een bericht op forum.joomla.org.
Indien er hier nog aanpassingen of fouten in staan dan hoor ik het graag, dan kan dit bericht aangepast worden.

• Geef aan welke versie van Joomla! je gebruikt toen je er voor het eerst achter kwam dat je website gehackt was, dus voor eventuele upgrades. Dit omdat veiligheidsproblemen per (verouderde) versie anders kunnen zijn
• Zorg er voor dat je de laatste versie van Joomla! gebruikt. Verwijder alle Joomla-bestanden in je installatie en bewaar een kopie van je configuration.php bestand.
• Controleer de Vulnerable Extensions List om er zeker van te zijn dat de 3rd party extensions versies die je gebruikt niet op deze lijst staan.
• Volg de tips in de Security Checklist op.
• Scan alle computers met FTP, Joomla super user en admin toegang naar je website tegen malware, virussen, spyware en dergelijke. In de checklist in het bovenstaande punt staan aanbevolen scanners.
• Wijzig alle wachtwoorden en indien mogelijk gebruikersnamen voor het hosting controlepaneel. Wijzig ook de Joomla database gebruikersnaam en wachtwoord.
• Gebruik correcte toegangsniveau voor bestanden en mappen. Deze horen NOOIT op 777 te staan. Normaal is 644 voor bestanden en 755 voor mappen. Het configuration.php bestand hoort op 444 te staan.
• Controleer je .htaccess voor vreemde code (code die niet in het Joomla standaardbestand staat of wat je zelf hebt toegevoegd)
• Controleer de crontab of takenplanner voor onbekende taken.
• Zorg er voor dat anonieme FTP uitgeschakeld is.
• Controleer elk niet-Joomla bestand zoals afbeeldingen, pdf-bestanden, downloads of andere documenten of deze correct zijn.
• Vervang de verwijderde bestanden door:
  1. Creëer een nieuwe database en installeer zonder voorbeelddata, zorg er voor dat dit de zelfde versie is als de gehackte site.
  2. Installeer de 3rd party extensies (inclusief bv. een op maat gemaakte template) naar de nieuwe Joomla-installatie. (dat zorgt er voor dat de bestanden van de gebruikte extensies ook op de juiste plaats staan)
  3. Wijzig de configuration.php van de nieuwe Joomla-installatie om met de oorspronkelijke database contact te kunnen maken.
  4. Zorg dat in de Joomla gebruikersmanager alle super users en administrators correct zijn.
  5. Maak een backup en update de installatie naar de huidige versie van Joomla

Alleen door het te verwijderen van alle bestanden uit de installatie, inclusief extensies en templates, kan je er zeker van zijn dat een backdoor die in verschillende bestanden en mappen kunnen zitten verwijderd zijn.

Op het officiële Joomla forum is ook een Forum Post Assistant , dit is een script die alle aanwezige gegevens over de gehackte website verzameld en in een te kunnen plaatsen bericht aanbiedt. Op dit forum kunnen ze dan makkelijker zien waar het probleem kan zitten.

Dag hvdmeer,

Kun je aangeven waar ik dit kan nakijken en zo nodig wijzigen:
"Zorg er voor dat anonieme FTP uitgeschakeld is."?

Alvast bedankt,
Hanneke Smulders

Hoi Hanneke, dat zou dan bij je hosting instelt moeten staan lijkt me.