Åh gud, jeg er blevet hacked

Det mest sandsynlige er at du har fået en virus på din computer, eller en hvilken som helst computer du har været på, der har siddet og overvåget din internettraffik -- FTP-passwords sendes ukrypteret over netværket, så en virus vil nemt kunne se dit password, dit brugernavn og navnet på din FTP-server, og så logge ind med de oplysninger automatisk og installere sin malware i din kode.

At alle dine filer er blevet slettet og erstattet med nogle nye er dog lidt mere aggressivt end man typisk ser -- oftest vil malwaren bare forsøge at embedde sig i din kode så anonymt som muligt -- men hvis formålet er phishing kan jeg godt se finten.

Under alle omstændigheder er det allerførste du skal gøre, at skifte dit FTP-password -- og hvis du bruger det samme password andre steder, også dér. Derefter skal du køre et fuldt virus- malware og spyware check på din computer.

Hvis du ikke har en backup, kan du spørge surftown om du kan betale dem for at lægge din side ind igen.

Men til at starte med, kan du jo slette alle de filer som er lagt ind på din side, hvis du tilgår den med ftp.

Prøv evt. at poste sourcen til din php formular herinde, så nogle af php-gutterne kan tjekke den.

Tak Per, jeg går igang lige med det samme.
Er det et anti spyware-malware du kan rekomanderer? Eller er bitdefener god nok til det?

Det er en kode jeg bruger overalt næsten, så det er ret uheldigt.


Hej Brian

 <?php 
  $to = "your@domain";  
  $from = $_REQUEST['Email'] ; 
  $name = $_REQUEST['Name'] ; 
  $headers = "From: $from"; 
  $subject = "Generel Kontakt"; 
  
  $fields = array(); 
  $fields{"Name"} = "Name"; 
  $fields{"Email"} = "Email"; 
  $fields{"Message"} = "Message"; 
  
  $body = "Vi har modtaget følgende infomation:\n\n"; foreach($fields as $a => $b){     $body .= sprintf("%20s: %s\n",$b,$_REQUEST[$a]); } 
  
  $headers2 = "From: your@domain"; 
  $subject2 = "Tak for din besked"; 
  $autoreply = "Vi har modtaget din besked, og vil vende tilbage med et svar hurtigst muligt.";
  
  if($from == '') {print "Hov! Du glemte at skrive en email adress, gå tilbage og prøv igen.";} 
  else { 
  if($name == '') {print "Hov! Du glemte at skrive dit navn, gå tilbage og prøv igen.";} 
  else { 
  $send = mail($to, $subject, $body, $headers); 
  $send2 = mail($from, $subject2, $autoreply, $headers2); 
  if($send) 
  {header( "Location: thankyou.php" );} 
  else 
  {print "Hov, der skete en fejl, og din mail er nu sendt til rummet, hvis det fortsætte så send besked til domain"; } 
  }
 }
  ?>

Her er mit template

Nej det går nok, er begyndt at slette alt, så jeg kan komme online hurtigst muligt. Det er virkelig slemt at folk ser mine sider med advarslen, så vil jeg hellere slette så meget som overhovedet muligt, og kommer igang igen. Google siger dog at mine sider ikke er indekseret som farlig, og kan heller ikke finde mine domæner på stopbadware så ved slet ikke hvordan jeg får fjernet den advarsel.

Alas det pisser mig fandme af at folk smider et skide spørgeskema ind på mit site.

Uden at være php ekspert, kan jeg ikke se at det script kan have et hul.

Du har ikke haft noget CMS installeret på et tidspunkt? Joomla, etc.? Der har før været huller i flere 3. parts moduler til flere CMS systemer.

Er det alt hvad der var på dit site ?

For så er det, som Per siger, sikkert en virus på din egen maskine, eller hvis det var et delt webhotel (altså ikke din egen virtuelle maskine), så kan hullet have været i et andet site.

Men der er mange måde, man kan få fuld adgang til at ændre på filerne på et website...og masser af blogs/bøger/websites som beskriver metoderne. Start evt. på http://www.owasp.org

@Brian
Ok, det er godt nyt, siden jeg har brugt scriptet flere gange.
Jeg har haft installeret Wordpress, Joomla og Magento.

@Robert
Nej, der var flerer mapper, scripts og diverse gøjle filer og der blev linket til 3 stylesheets. Jeg slettede alt, for at undgå det skulle blive værre.

Alle mine domæner er blevet blokeret, men af en eller anden grund er det kun 1 af dem jeg kunne finde hans scripts på.
Nu må vi se om google vil åbne for mit site igen.

Google åbner for dit site igen når deres bot har kigget forbi et par gange og set, at malwaren ikke længere er der. Der kan gå op til allerseneste 90 dage, men du kan skrive en supportmail til Google og bede dem kigge på det, de kan godt være flinke.

Man behøver nu ikke at skrive en supportmail, vil hellere se at få tilkoblet webmastertools og derigennem få iværksat en gennemgang.

Jeg har tidligere oplevet hos surftown af der fiser nogle lidt underlige php filer rundt på serveren. Jeg lavede en hurtig søgning på en del af koden, og fandt ud af at det er noget hacker-malware-virus lignende kode halløj der åbenbart har spredt sig selv. Jeg har oplevet det på 3 af mine webhoteller og derunder på hhv. 1, 3 og 4 af de domæner jeg havde på hotellet.
Det har dog aldrig gjort nogen skade på nogen af mine sider, og har naturligvis slettet det så snart jeg opdagede det.
Jeg skal selvfølgeligt ikke sige om det er de filer der pludseligt er blevet mere aggressive - Surftowns support påstår at det ikke er muligt at sprede sig rundt på serveren, og at det ikke er noget jeg skal bekymre mig om. Om jeg så vælger at tro Surftown eller Google er jo så spørgsmålet

@Per 90 dage

@Michael
Har kigget webmastertools igennem http://www.google.com/safebrowsing/diagnostic?site=www.example.com
det her værktøj ser det ud til at jeg skal bruge, men får

This site is not currently listed as suspicious.

Jeg har skrevet til google igennem siden, nu må vi se.

@Nu ved jeg slet intet om Servere og lign, men nogen gange virker det somom Surftown heller ikke gør.

Glæder mig dog til at se hvad Surftown siger til at jeg har slettet de filer som de har smidt på min server.