6 sites gehacked

wij hadden 6 Joomla sites waar we informatie voor consumenten op zetten. Het was puur informatief, geen webshop. Elke week werk ik wel op minimaal 1 vd sites en als er een update is doe ik die meteen bij allemaal. Omdat 2.5 niet meer ondersteund wordt heb ik begin december alle sites ge-upgraded naar 3. sommige extensies waren daar niet voor geschikt, daar heb ik andere voor gezocht. Al met al heel erg veel werk (3 van de sites hebben zo'n 150 artikels), veel foto's en in Phocamaps verkooppunten toegevoegd. vorige week dinsdag bleek 1 van de sites gehacked, een witte pagina met Franse tekst en iets over Facebook. Site leeggehaald via FileZilla, laptop gescand met McAfee, wachtwoorden FTP, MSQL en site inlog gewijzigd, Joomla opnieuw geinstalleerd, 1 voor 1 extensie toegevoegd en controleren aan de voorkant. Laatste link geplaatst en bij controle aan de voorkant zag ik dat hij weer was gehacked. Nu door X-Warrior een zwarte pagina, doodskop kortom niet fijn. Weer site leeggetrokken,etc. nu extensies weggelaten. site 2 dagen goed online, zondag alle 6 de sites gehacked, weer door X-Warrior met een boodschap dat mijn veiligheid 0% zou zijn. Ik had de inlog beveiligd met Kareebu, lange moeilijke wachtwoorden, Akeeba en nogmaals alle extensies en Joomla up-to-date. Er was geen mogelijkheid om als gebruiker aan de voorkant in te loggen. Alle sites zijn nu offline, 4 jaar werk naar de filistijnen en ik boos. Volgend jaar maar eens een ander programma zoeken. Juist om dit soort dingen te voorkomen heb ik ge-upgraded naar 3. Weet niet of er mensen zijn die gehacked zijn door dezelfde klier. Weet niet wat ik fout gedaan heb maar ben er letterlijk en figuurlijk ziek van

Hoi KvHGroup, ik zeg het netjes als ik zeg dat dit best vervelend is.
Je hebt dus de FTP, databasegebruiker en Joomlagebruiker wachtwoorden gewijzigd na de hack en de laptop gescand. Normaal zou dat moeten werken.

Waar worden de sites gehost? Zou daar wellicht een probleem kunnen zijn?

Wellicht is het beter je logfiles goed na te pluizen om erachter te komen hoe de hacker toegang krijgt tot je site.
Je gebruikt extensies zoals jezelf zegt, die kunnen ook lek zijn.

Verder kan het zo zijn dat de hacker al eerder een bestand binnen je installatie heeft geplaatst waardoor hij/zij zich toegang verschaft via je site.
En ook niet geheel onmogelijk is een instelling bij je host.

Om achter de werkelijke reden te komen moet je je logfiles raadplegen.

Een ander pakket gebruiken zou niet veel uit hoeven maken. Het meest voor de hand liggende is dan WordPress, maar ik volg de security bulletins van zowel Joomla! als WordPress. Ik kan je vertellen dat ze allebei even interessant zijn voor hackers die vaak geautomatiseerd te werk gaan. Ook Drupal had dit jaar een heftige aanval waarbij je binnen 8 uur de patch geinstalleerd moest hebben anders was je website sowieso gehackt. Heftig dus.

Beter dan een ander pakket uitzoeken, is om te onderzoeken waarom dit gebeurt is. Dan baseer je je toekomstige actie op basis van feiten.

Dit is geen kritiek op jou! Ik probeer je alleen te helpen in de toekomst de beste keuzes te maken.

Het is essentieel dat je zsm contact opneemt met je hoster en dat ze verder kijken (voordat de relevante log bestanden verwijderd worden). Vooral als je zegt dat alles up to date is dan moet je hoster helpen om de oorzaak te vinden, wellicht ligt de oorzaak namelijk bij hun. Niet alleen sites kunnen gehackt worden, ook servers!

In de tussentijd kan een dienst zoals deze je helpen door de bestanden te vinden en meer informatie te geven over de hack:
myjoomla.com/

Maar ik adviseer Sucuri vooral, die hebben een erg goede naam en onderzoeken voor een acceptabel tarief wat er aan de hand is. Misschien dat ze je de oplossing kunnen geven waarnaar je zoekt:
sucuri.net/website-antivirus/malware-removal

Hoe heb je de update van 2.5 naar 3 gedaan? Indien de hacker in je 2.5 ergens een file heeft gezet waarmee hij toegang krijgt en je upgrade op een normale manier dan zal die file niet verwijderd zijn na de upgrade. Bij een hack moet je eigenlijk alle files verwijderen en opnieuw installeren en vervolgens bv je plaatjes etc weer uploaden op de juiste plek. Anders draai je wel 3, maar zit daar nog ergens die bewuste file.

Maar er is meer onderzoek nodig om precies te zeggen wat er gebeurd. Bij bepaalde server-instellingen kan het ook aan een 'buursite' liggen.

Laat ons weten indien je meer informatie hebt.