A- A A+

Ik ben gehacked

Gisteren had ik een script nodig van mijn site. Dus ik laad mijn site en wat zie ik, woorden als "V1agra" en andere rare uitingen met links. Het eerste wat ik dacht is "What the f...".

En toen bedacht ik me. Ik heb een backup.

Dus het eerste wat ik deed was, de site off-line halen, maar mijn joomla admin page was kapot. Dus inloggen op mijn vps en toen zag ik het al, robots.txt aangepast, andere google id file. Et cetera.
Dat was dus gepast schrikken.

http://blog.xmlswf.com/how-to-check-your-joomla-website-hacked-or-not/

Mijn grootste fout, maar ook mijn geluk was dat ik met chmod alles op 777 had staan, met het gevolg dat alles schrijfbaar en executebaar was. Snel de database gecontroleerd. En deze was in tact.
Het eerste wat ik deed was rm -r over de hele root heen en daarna een lege index.php plaatsen. So far so good.En daarna aan het einde van mijn werkdag naar huis......

Restore

Ik maak iedere week een full-backup van de site en database. Dus het eerste wat ik deed was de laatste backup vergelijken met een goede backup van begin dit jaar. Geen verschillen op een paar kleine na (logging). Dus de hack heeft plaatsgevonden tussen afgelopen zondag en gisteren middag.

Tijdens het wissen van mijn site kreeg ik helaas niet alle folders en bestanden weg, maar ik kon ze verplaatsen. Gemoved naar /recyclebin buiten de /httpdocs folder en Yourname Webhosting gecontact (dank jullie voor de snelle service). Binnen een dag was de folder weg. Via FTP de site terug gezet en in 30 minuten was hij weer operationeel!

After fixes

Inmiddels is alles weer goed. Heb de security aangepast en de site dicht gezet. Ben er inmiddels achter hoe ze binnen zijn gekomen, maar daarover later meer.

Uitgevoerde fixes zijn:

  • Folder rechten dichter (755);
  • bestandrechten dichter (644);
  • Rechten robots.txt, google-id, configuration.php, .httaccess heel dicht (444);
  • Ongebruikte modules en plugin's gedeinstalleerd;
  • Joomla update gedraaid;
  • Plugin's en modules geupdate;
  • User registration (zo zijn ze binnengekomen) uit gezet;
  • jHackGuard geïnstalleerd;
  • /tmp en /log verplaatst naar een andere locatie;
  • robots.txt aangepast;
  • En nog een aantal niet nader te benoemen acties (anders wordt het te gortig en te makkelijk).