[aktieante]

Hej!

Jag fick ett mail från google att min sida blivit Suspected Hacking.
När jag logga in på ftp såg jag att det fanns en ny mapp med 100 tals konstiga filer.

Vilka möjligheter finns för att dessa skall ha kommit dit?

Nu står det i sökresultaten på vår sida hos google.
"Denna webbplats kan vara osäker att besöka"

[Droog]

Störst sannolikhet är att de kommit in via FTP. Därefter att de nyttjat en bugg i ditt CMS, förutsatt att du kör ett. Om inget av de två skett har de förmodligen laddat upp ett skript via ett formulär som de sedan kört som sedan genererat strukturen.

[aktieante]

Jag förstår inte meningen med detta.
Gör dom det för att jävlas?

Borde jag byta ftp lösen nu?

[Anders Karlsson]

Du borde först kolla att du har en ren icke infekterad backup av din site.
Sedan raderar du allt på siten.
Sedan byter du lösen
Sedan laddar du upp allt igen.
Tänk på att även databasen kan vara infekterad, så samma gäller här.

De kan lägga in flera bakdörrar på olika ställen, så därför får man vara ganska noga med rensandet.

Oftast är det nog bara kids som vill visa att de kan. Ibland säljer de bakdörrarna vidare till andra

[Danski]

Sajter "hackas" då botnet som letar efter kända sårbarheter där sajterna sedan nyttjas för att infektera besökare. Inte något folk gör för skojs skull utan en ren "affärsverksamhet" som omsätter miljarder årligen. Kidsen som det hänvisas till står för några procent av intrång men 99% av uppmärksamheten.

Uppdatera ditt CMS, FTP-server, lösenord etc. beroende på vad du använder. Rensa alla filer modifierade efter hackets tidpunkt.

[Anders Karlsson]

Synd bara att polisen inte har kompetens att utreda brotten. Jag har en känsla av att hackarna lämnar ganska tydliga spår efter sig. Om polisen har ont om resurser så skulle detta ju kunna genererar pengar till kassan.

[aktieante]

Så här har det sett ut.
En jäkla massa nya besök till filerna som tillkommit på servern.

/fure-azeri-seks-kino/ 700 150 20% 11
/adorn-foxconn-g31mv-n15235-motherboard-driver-win-7/ 700 90 11% 10
/oorsche-car-town-codigos-de-promocin/ 600 110 19% 11
/diversity-minecraft-pirated-version/ 600 60 11% 12
/gabenelli-investments-bodie-kane-and-marcus-8th/ 600 60 11% 5.1
/marlinballistics-xart-vip-lounge-dowload/ 600 60 9% 12
/absorbtion-kaspersky-antivirus-70-keygen/ 600 60 11% 10
/immortals-operating-manual-deh-4350ub-deh-3350ub-eng-esp-por-pdf/ 500 70 17% 9.0
/rdna-samsung-corby-2-r3850-java-games/ 500 70 14% 13
/gsxl-farsi-kardane-htc-wildfire/ 500 35 8% 6.2
/puncher-igo-primo-2012-download-gratis-completo/ 500 30 6% 11

[Westman]

Besöken är antagligen via phisingförsök. Hade samma problem med en kompis webbsajt (wordpress) och enda lösningen var att låsa ned i filstrukturen så att wordpress inte kunde skapa kataloger etc.

[foks]

Citat:

Ursprungligen postat av Westman

Besöken är antagligen via phisingförsök. Hade samma problem med en kompis webbsajt (wordpress) och enda lösningen var att låsa ned i filstrukturen så att wordpress inte kunde skapa kataloger etc.

Jag tycker det snarare ser ut som blackhat-seo.

Det låter som att din kompis fortfarande har säkerhetshål kvar i Wordpress. Att ändra rättigheterna fungerar ju, men löser inte det ursprungliga problemet.

[aktieante]

Kan det vara någon som försöker få ner våra sidor i googles sökresultat?
Får åtskilliga telefonsamtal från dessa skojare som säger sig vilja optimera vår sida.
Jag avvisar alltid dessa samtal.