Weer gehacked

Hi
2e keer deze week. NU weer iets anders.
in /libraries/fof/inflector is een map geplaatst genaamd wu-westernunion
Daarin allerlei (onleesbare) bestanden.
In de logfile zie ik vanuit diverse ipadressen :
66.102.8.163 - - [17/Jul/2016:08:21:18 +0200] "GET /modules/mod_articles_popular/wu-westernunion/etc/clientlibs/granite/2d705/Connexion%20-%20S'inscrire%20_%20Western%20Union_fichiers/s.swf HTTP/1.1" 404 1528 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11"

Iemand enig idee wat ze hier aan het doen zijn?

Ik heb de map al verwijderd.

gr Jan

Met alleen de map verwijderen los je niks op.
Heb je na de vorige keer deze punten ook gedaan?
- login super user aanpassen
- FTP-wachtwoord wijzigen
- hostingwachtwoord wijzigen

Weet je zeker dat je na de vorige keer ook alle hackbestanden verwijderd hebt? Eén bestandje per ongeluk laten staan kan er al voor zorgen dat ze nog steeds toegang hebben.

Ja .... maar hoe weet je dat ? dat ja alles hebt gehad

wachtwoorden allemaal aangepast.

Alles wat hier gemeld en gelinkt is, is belangrijk om te doen.

Een opmerking: Datums van mappen en bestanden worden in mijn ervaring ook vaak aangepast (soms ver in het verleden), dus daar kan je niet blind op varen.

Wat je kan doen is 1 gratis consult doen bij myjoomla.com, dan krijg je een overzicht van waar de rommel (nog) zit en kan je gericht dingen verwijderen.

Nadat ik dit heb gedaan, doe ik zelf voor klanten die getroffen zijn ook nog dat ik alle bestanden download en dan op een linux machine nog met wat regular expressions zoek in de codeop bijvoorbeeld base64_decode en str_replace e.d.. Dan haal ik vaak nog extra rommel weg. Ik gebruik ook het NeoPi script nog. Voor dit alles heb je wel Linux scripting kennis nodig.
Daarmee krijg ik de site wel brandschoon en installeer dan de pro versie van Admin Tools om e.e.a. dicht te zetten en de php scanner dagelijks te laten scannen, dan ben je er meteen bij als er iets vreemds gebeurt. En kwetsbare extensies opzoeken en updaten of verwijderen als er geen veilige update voor handen is. Maar dat was al genoemd (of naar gelinked).

Wat je ook kan doen is myjoomla.com vragen om de site voor je schoon te maken. Kost wat, maar ze geven geloof ik wel garantie.

Misschien heb je hier wat aan.

Sorry dat ik hierop reageer, maar we hebben wat vervelende spammers verwijderd.
Gevolg is echter dat er wat foutboodschappen verschenen. Daardoor was de laatst regerende bezoeker een verwijderde spammer en gaf daardoor een fout. Door hierop te reageren wordt ik de laatst reagerende.
Helaas krijgen een aantal mensen daardoor een bericht dat er iemand heeft gereageerd op een paar topics.

Hierboven staan allemaal hele goede suggesties en oplossingen. Ik heb nog een paar tips:

Belangrijk is ook, om je extensies en je Joomla versie te updaten naar de laatste versie.
Vergeet niet om regelmatig een back-up te maken van je website. Test regelmatig of jij je website kunt restoren. Binnen Akeeba Backup kun je de backup met een wachtwoord beveiligen.
Zet eventueel je Joomla gebruikersregistraties dicht als deze functionaliteit niet nodig is.
Last but not least, vergeet ook niet om het wachtwoord op van je database account te resetten.