Joomla hack; hoe te voorkomen en op te lossen

logo
door: Kees 05-01-2016| Leestijd: 6 minuten| Categorie: SSL / veiligheid

Een Joomla hack, het komt helaas weleens voor. Half december 2015 had het CMS nog te maken met een zogenaamde ‘exploit’. Daarop is direct actie ondernomen door onze technici met tegenmaatregelen. Echter, een aantal Joomla-sites is reeds gehackt. We leggen je uit hoe je een hack kan voorkomen en oplossen.

Dit is artikel 1/2, onderdeel van een serie artikelen over Joomla hacks.
(2/2) Joomla website gehackt? Zo los je het op

Het blijkt maar weer o zo belangrijk om je website en bestanden goed tegen hackers te beveiligen. Sleutel hierbij is om ervoor te zorgen dat je Joomla-CMS, het template en alle plug-ins altijd up-to-date zijn.

Het veiligheidsteam van Joomla ontdekte dat versie 1.5 tot en met 3.4 een groot risico bevatte.

Hackers wisten via een HTTP-lek een script in de database te plaatsen en deden dat vooral vanaf de IP-adressen 74.3.170.33, 146.0.72.83 en 194.28.174.106

Controleer Joomla op hacks

De eerste stap is te controleren of je CMS is aangetast door een kwaadwillende. Zijn er bestanden aangepast? Zijn er ongeoorloofde scripts geplaatst?

Een online scanner kan je vaak binnen enkele minuten helpen ontdekken of er schadelijke code aanwezig is in één of meerdere bestanden. Je kunt hiervoor de scanner van Sucuri gebruiken.

Vindt de scanner geen bijzonderheden? Controleer dan de logbestanden van jouw website. Om deze bestanden in te zien ga je naar het Control Panel van jouw website en log je in. Volg dan deze stappen:

1
Klik op je domeinnaam.
2
Klik op de button ‘Log Manager’.
3
Download de logbestanden door op het groene icoontje rechts van het logbestand te klikken. Het gaat om het logbestand ‘access_log.processed’ of ‘access_log.processed.x.gz’. De logbestanden ‘access_log.processed.x.gz’ zijn ingepakt. Deze kan je uitpakken met bijvoorbeeld Winrar of 7zip.

Zoek in je logs

Wanneer je in een logbestand een regel vindt zoals hieronder, dan is je website mogelijk gehackt. Daarbij moet achter de tekst ‘HTTP/1.1’ het getal 200 staan. Dat betekent dat de opdracht (‘__test|O:21:\”JDatabaseDriverMysqli’ etc.) die in de regel omschreven staat uitgevoerd is. Staat er bijvoorbeeld 403, dan was op dat moment de hack niet meer mogelijk.

Welke actie er precies is uitgevoerd door de hacker is aan de logregel niet te zien.


185.15.185.17 - - [15/Dec/2015:18:49:14 +0100] "GET / HTTP/1.1" 200 16973 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:36:\"phpinfo();JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"

Blijkt uit je logs dat er een mogelijke Joomla hack is geweest, doorloop dan onderstaand stappenplan of meldt je bij onze helpdesk.

Geen hack? Voer dan meteen de laatste updates van je CMS, plug-ins en template door.

Niet gehackt? Dan direct updaten!

Blijkt uit je controle dat jouw website ongeschonden is, dan is het tijd om meteen actie te ondernemen en Joomla te voorzien van de laatste versie. Vergeet hierbij niet om eerst al je plug-ins en thema’s bij te werken naar de laatste versie.

In het startscherm van Joomla vind je links onderin altijd de status van je CMS en beschikbare updates.

Via deze stappen voer je de updates uit:

1
Log in op de backend van je website.
2
Ga in het dashboard naar het kopje ‘Onderhoud’. Daar kies eerste voor het eventueel updaten van de extensies.
3
Er opent een nieuwe pagina. Klik daar in het linkse menu op ‘Updaten’ en selecteer de betreffende extensies. Klik daarna op de knop ‘Updaten’.
4
Na het bijwerken van deze extensies ga je terug naar het dashboard en kies je bij ‘Onderhoud’ voor het bijwerken van Joomla naar de laatste versie.
5
Op de nieuw geopende pagina klik je onderaan het overzicht de knop ‘Installeer de update’. Het kan zijn dat je tijdens dit proces opnieuw moet inloggen op de backend.
6
Na een succesvolle update verschijnt de melding “De website bijwerken is geslaagd. De huidige Joomla versie is nu X.X.X.”
7
Tot slot klik je op deze pagina links boven op de knop ‘Cache opschonen’.

Je kan de update van Joomla eenvoudig uitvoeren via het automatische installatieproces.

Sprake van een Joomla hack?

Mocht uit jouw onderzoek blijken dat je website is gehackt, dan is deze in veel gevallen op te schonen en te herstellen. Daarvoor kun je het stappenplan volgen in deel twee van deze serie artikelen: ‘Joomla website gehackt? Zo los je het op’.

Lees hier het stappenplan ❯❯
en los je Joomla hack snel zelf op.

Joomla helemaal up-to-date?

Wanneer jouw CMS helemaal up-to-date is, dan is het noodzaak dit zo te houden om lekken en een Joomla hack te voorkomen.

Verwijder bijvoorbeeld altijd testversies van je CMS, ruim ongebruikte plug-ins op, zorg ervoor dat alle bestandsrechten goed staan, schoon je database regelmatig op en werk je CMS en plug-ins continu bij naar de laatste versie.

Als leidraad is er de blog ‘Website update: de gevaren van uitstellen’, waarin in vijf stappen het nut en de noodzaak van updaten wordt behandeld. De Joomla Community heeft een handige checklist met zaken om een optimale Joomla-configuratie te maken.

logo
Over: Kees

Kees ademt technologie, gadgets en automatisering en is altijd bij de tijd wat betreft de laatste ontwikkelingen op deze gebieden. Als technisch medewerker staat hij jou in de helpdesk te woord en voorkomt hij storingen.