Hoort het bestand wp-logs.php thuis in Joomla!

Het heeft geen zin om te proberen die bestanden te openen. Daar bereik je niets mee.



Als je geen schone backup hebt is het het handigste om alles van de server te verwijderen. Wel eerst alle afbeeldingen en de configuration.php naar je computer halen (eventueel de hele site) en een backup maken van je database. Dan een schone installatie te doen met een nieuwe database en alle geïnstalleerde extensies. Daarna je afbeeldingen en je configuration.php weer uploaden en de backup van je database weer importeren.

Beste Astrid,

Bedankt voor je respons!
Wel, dat zou voor mij een nieuw verhaal zijn. Maar als ik alleen de afbeeldingen download en een nieuwe installatie doe, ben ik dan niet mijn content kwijt?

Er zijn wel backups maar ja, ik weet niet wanneer de site is gehackt. Dus een schone installatie lijkt me beter.

De content zit in je database.

Okido.

En de formulieren die zijn opgemaakt in Chromoform?

Daarnaast moet ik ook de map met afbeeldingen voor Phocagallery downloaden.

Inderdaad is het beter om alles te downloaden.

Ook de formulieren zijn onderdeel van de database.

En ja, voor de zekerheid alles via FTP naar je PC halen is wel handig.
Maar beperk je alleen tot de mappen met afbeeldingen, om dus alleen die na de schone installatie terug te zetten.
En controleer nog even goed of er geen PHP-bestanden in de mappen met afbeeldingen zitten, want die horen daar niet thuis.

Beste WoodyF4u,

Bedankt voor je respons, je hebt mij even wakker geschud om te reageren .
Je antwoord is duidelijk, bedankt.

Maar ik heb niet zitten dutten. Aangezien het voor mij al weer een tijdje terug is dat ik mij goed verdiept heb in de 'opbouw van de site op de server'. Ik heb veel van de mappen doorgespit en vergeleken met een schone Full Package.
Niet om alles eruit te vissen maar ook om de structuur weer eens in mijn hoofd te krijgen. Daarnaast heb ik eens een kijkje genomen in het access-log bestand en de awstats bestand. Ik heb hier heel wat sporen ontdekt die ook leiden naar de - inmiddels verwijderde - bestanden.
Ook een backup van de database heb ik eens bekeken.

Nadat ik dit heb gedaan heb ik nog 1 bestand er uit kunnen vissen.

DMC reageert nu ook veel rustiger. het enige waar ik melding van krijg isa dat het robots.txt bestand wordt aangeroepen. maar de ip-adres(sen) worden geblokkeerd door DMC.

Het is niet zo dat ik alles zelf wil doen maar ik wil gewoon weten wat er gebeurd op de server.

De vraag die mij nu nog overblijft is:
Hoe plaatsen ze een bestand op je server. Simpel gezegd; ik heb kom alleen maar op de server via mijn FTP, hoe komen zij erop?
Volgens mij is het wel zo dat er alleen bestanden toegevoegd worden maar bestaande bestanden kunnen ze niet overschreven?

Een hacker zoekt naar fouten in je beveiliging.
Zodra er ergens een gat in de beveiliging zit is dat het moment om daar gebruik van te maken.
Hackers doen dat niet handmatig, maar viren grote hoeveelheden opdrachten op Joomla-websites af en hopen dat één van die pogingen succes heeft.
Zodra ze succes hebben en de website reageert naar hun wens, dan hebben ze een gat te pakken en kunnen dan ongevraagd via dat gat een kwaadaardig bestand op je hostingruimte plaatsen.
Dat bestand is meestal een PHP-bestand waarin ze opdrachten hebben verwerkt die ze vervolgens van buitenaf kunnen aanroepen.
Op die manier maken ze van je website bijvoorbeeld een spam-versturende website of wordt het onderdeel van een of andere combinatie van websites die samen aanvallen op andere websites of diensten uitvoeren.

Om die reden is het dus heel erg belangrijk dat je zorgt voor goede beveiliging van je Joomla-website en dat je ook meegaat met de laatste PHP-versie op de server. Dat doe je eventueel in overleg met je hostingprovider.
En natuurlijk het allerbelangrijkste is dat je alle geïnstalleerde extensies regelmatig update naar de meest recente versie.
Ga daarbij niet uit van wat Joomla je in de back-end doorgeeft.
Want als die aangeeft dat alle extensies up to date zijn, dan kan het best zijn dat er extensies zijn die niet via dat scherm worden genoemd.
Je moet dat dus altijd zelf controleren op de site van de makers van de extensie(s).

Beste Wouter,

Bedankt voor je uitgebreide informatie en uitleg!
Zal in ieder geval even de php-versie van de hosting checken. Maar volgens mij zit dat wel goed, De site wordt gehost door YourHosting en zij bieden ook alle support voor Joomla.
Het was zeker even een goede tip op de extensies handmatig te controleren op updates. PhocaGallery wordt namelijk niet automatisch bijgehouden en hier was inderdaad een update voor beschikbaar met tevens een nederlandstalige zip-bestand.

Ben weer een stuk wijzer geworden.
Het is net alsof je voor je eigen huis staat, dat je lang kent, maar je weet niet wat de inhoud van je huis is !
Nu weet ik wat ik ongeveer in huis heb !

Het blijft nog steeds riskant om je site handmatig op te schonen. Maar aangezien je nu wel voldoende (achtergrond-)informatie hebt gehad, sluit ik dit draadje.