RSFirewall voor een veilige site

Uw css joomla website gehacked of besmet met malware. Joomla websites zijn over het algemeen zeer veilig te noemen en de vele duizenden ontwikkelaars proberen elk lek wat te voorschijn komt telkens te dichten maar het is dweilen met de kraan open. Hacks zijn er in veel verschillende soorten en de laatste tijd is het plaatsen van malware weer heel erg in bij het legertje hackers. Op de een of andere manier wordt via een plugin of module die u hebt geïnstalleerd een scriptje geplaatst die op zijn beurt om de zoveel tijd een belangrijke pagina besmet met code die daar niet in thuis hoort. Soms krijgt u een totaal andere openingspagina te zien van iets of iemand waar u niets me te maken hebt. Maar het gebeurt ook wel dat zo’n code er voor zorgt dat de server waar uw site op staat duizenden mails gaat verzenden met als grote nadeel dat uw domeinnaam achter het apenstaartje @ staat. Dat kan heel nadelig voor uw site uitpakken, immers heel veel mensen ontvangen email vanuit uw domeinnaam over onderwerpen en spullen waar u niets mee van doen hebt en ook niets mee van doen wil hebben.

Help mijn site is gehacked

Onlangs kreeg ik een telefoontje van mijn hoster dat drie van de sites die ik heb gemaakt waarschijnlijk waren gehacked want ze verstuurden duizenden emails per uur. De hoster moest de beide sites plat leggen om geen problemen te krijgen. Gelukkig ken ik mijn hoster persoonlijk en hij heeft samen met mij gekeken waar het probleem nou eigenlijk vandaan kwam. Geloof me als ik u vertel dat ik zeker geen afgestudeerd ITer ben maar slechts een autodidact die veel met Joomla bezig is als vrijwilliger voor vele clubs en instellingen. De methode die hij hanteerde liet meteen zien dat er scriptjes waren geplaatst maar waar precies konden wij zo snel ook niet zien. Op zijn advies heb ik een site volledig via ftp gedownload en ben met Spotlight gaan zoeken. Ik gebruik een mac en dan is het wel zo handig als je die functie ook gebruikt. In windows zal ook wel een zoekmechanisme zitten maar hier werk ik jaren niet meer mee dus kan u niet vertellen hoe dat werkt.

Hoe vind je dat scriptje nou?

Eigenlijk heel eenvoudig, door gebruik te maken van gratis online scanners. En dat gratis is maar tot een bepaalde hoogte. Wil je echt alles uit de kast halen en je site ook laten opschonen zal je in de portemonnee moeten. Vaak zijn dat maandelijkse of jaarlijkse abonnementen die u veel geld kunnen kosten. Het is beter om continu zelf u site in de gaten te kunnen houden en eventuele fouten herstellen. Om uw site te controleren en op te schonen adviseer ik RSFirewall. Het kopen en installeren van RSFirewall is een kwestie van minuten. Na het installeren en uw registratie is ingevuld, kan het scannen van uw site beginnen. Het duurt een paar minuten, maar dan zul je al snel resultaten zien. Bij de meeste problemen geeft het programma zelf al een oplossing aan die het ook voor u uitvoert als dat kan. Soms moeten dingen handmatig worden aangepast maar je weet dan wel waar je moet zoeken. Het programma geeft de fouten aan in welke file, extensie, module, plugin of template of map staan. Als je via FTP hier dan even naar toe gaat zie je vaak het probleem al.

Vaak zit in een besmette file een stukje code met een link naar een site. Probeer die code te vinden en verwijderd die. Soms worden er complete PHP files geupload naar je site waaraan je eigenlijk al meteen kan zien dat er iets niet pluis is. Files met een onleesbare wirwar van code komen standaard in Joomla niet voor. Dus dergelijke files moeten verwijderd worden. De kans is heel groot dat er files voor de dag komen waar dat rare internetadres in vermeld is. Bij joomla barst het van de PHP bestanden en ik raad u aan om deze te openen met een eenvoudige tekstverwerker zoals kladblok. Om de bestanden te vinden kan het beste gewerkt worden met Filezilla. Eenmaal een bestand gerepareerd zal uw site weer wat schoner zijn.

Er is meer aan de hand, malware

Die ene gerepareerde site bleef het een dag lang goed doen. En plotseling begint de site weer email te genereren en niet zo’n beetje ook. Opnieuw waren alle templates weer besmet, maar nu met net weer een ander stukje code met een andere verwijzing naar een of andere internetsite. Maar nu weet je waar je moet kijken en is het heel eenvoudig bovenstaande stappen te herhalen. Maar als dit dagelijks moet krijg je hier al snel genoeg van en zullen er andere maatregelen genomen moeten worden. Ik heb veel en lang gespeurd naar een gratis oplossing want ik wordt van het maken van websites voor sportclubs en andere leuke instellingen financieel ook niet veel wijzer. Alles is “oud papier liefdewerk” Helaas het leverde niet veel op mijn speuren en ten einde raad heb ik mij gewend tot een programma waarvan ik vermoedde dat die het probleem wel eens op zou kunnen lossen.

RSFirewall

RSFirewall is te koop bij RSJoomla en bovenaan op deze pagina staat de link naar dit programma. Goede raad is duur en heb dit voor die site aangeschaft. Voor mij persoonlijk was het veel geld maar de moeite waard om te proberen. Ik heb met een aantal andere betaalde extensies van RSJoomla goede ervaringen en de support is zeer goed te noemen. Binnen enkele klikken is het programma gekocht en kun je het downloaden. Slechts een Zipje voor component, een zip voor de module en eentje voor de Nederlandse taal, binnen enkele minuten was het programma geïnstalleerd in de backend van Joomla. Je hoeft echt geen ITer of techneut te zijn om het programma te begrijpen. Al meteen wordt begonnen met het scannen van de database en de cms. Waar zich problemen voordoen worden voorstellen gedaan om te repareren of wordt precies aangewezen waar het probleem zich voordoet.

Al na een half uurtje kwam ik er achter dat er een module in de site zat die telkens het probleem veroorzaakte. Via FTP even goed kijken en ja hoor, in de hoofmap van die module stond een file die er niet thuis hoorde. Een wirwar van tekens waar totaal geen chocola van te maken viel. Weg ermee. Nadat alle rechten weer goed waren gezet zag ik dat in de root van de site ook nog afwijkende files zaten die in een standaard joomla installatie niet thuis horen. Hopla, ook weg met die rommel.

Steeds opnieuw heb ik gebruik gemaakt van Securi om de site ook nog online te scannen en hoe meer rommel ik verwijderde hoe minder meldingen ik kreeg van die online scan. Op dat moment wist ik zeker dat de site door RSFirewall gecontroleerd werd en dag erna, kon ik in de log ook zien dat er weer geprobeerd was om de site te besmetten maar dit was dit keer maar gedeeltelijk gelukt. De index.php van de templates waren nu helemaal leeg, dus dat had de hacker nog wel klaar gekregen maar kon er geen nieuwe code meer in krijgen.

Even de goede index.php weer uploaden en het IP adres via RSFirewall blokkeren, een IP blok dus. Je kan precies zien van welk IP adres geprobeerd wordt de zaak te frustreren. Elke dag werd het nog wel geprobeerd maar het lukte niet meer. Ik denk dat ze op een gegeven moment de moed opgeven en op zoek gaan naar een site die ze wel kunnen besmetten. Met deze site ben ik nu een paar dagen verder en tot nu toe verloopt alles perfect dankzij RSFirewall. Een site is voldoende schoongemaakt met RSFirewall en aanvallen worden goed geblokkeerd. Twee ander sites heb ik helemaal opnieuw op moeten bouwen wat erg veel werk is geweest. Mijn advies aan iedereen die mij een site laat bouwen “installeer RSFirewall” Het scheel enorm veel werk en daarmee kosten.

Plaats een reactie