Mögliches Duplikat:
Mein Server wurde NOTFALL gehackt
Ich habe gerade festgestellt, dass meine Site, glaube ich, gehackt wurde. Zusammen mit einigen anderen Sites auf meinem Host. Wenn Sie zum Ende der Site gehen, sehen Sie ein Iframe. Ich weiß nicht, was das ist, es sollte nicht da sein.
Ich habe den gesamten Code von meiner Site gelöscht und er ist immer noch da.
Ich habe htaccess geprüft und dachte, vielleicht hat jemand auto_append hinzugefügt. Nichts.
Irgendeine Ahnung, wie ich unten auf meiner Site noch etwas hinzufügen kann?
Ich lade derzeit einige Protokolldateien herunter, um sie durchzusehen.
Antwort1
Als Erstes sollten Sie Ihren Hosting-Anbieter benachrichtigen. Dieser kann sich die Protokolle ansehen, auf die Sie keinen Zugriff haben.
Zweitens: Ich sehe, dass Sie Wordpress verwenden. Sie müssen:
-Überprüfen, ob Wordpress auf dem neuesten Stand ist
-Überprüfen und sicherstellen, dass alle Ihre Wordpress-Plugins ebenfalls auf dem neuesten Stand sind
Wenn eine der oben genannten Versionen nicht auf dem neuesten Stand ist, müssen Sie überprüfen, ob die von Ihnen ausgeführte Version eine bekannte Sicherheitslücke aufweist. (Überprüfen Sie die Website der Software usw.)
Durchsuchen Sie zunächst Ihr Webroot, um alle Dateien zu finden, die nicht an ihrem Platz sind. Achten Sie darauf, auch in temporären Verzeichnissen nachzuschauen.
Wenn sich herausstellt, dass es sich um einen bösartigen Hack handelt, möchten Sie die Wiederherstellung aus einem zweifelsfrei funktionierenden Backup durchführen.
Dies sollte Ihnen den Einstieg in die richtige Richtung erleichtern.
**Bearbeiten: Bitte ignorieren Sie die Antwort von XTZ bzw. geben Sie ihr einen Daumen nach unten. Sie ist reaktionär und gefährlich, ganz zu schweigen davon, dass sie ungenau ist.
Antwort2
Wenn sie in der Lage wären, zu bearbeiten php.ini, könnten sie meiner Meinung nach jeder PHP-Seite eine Fußzeile hinzufügen (die Sie in Ihrem eigenen Code natürlich nicht sehen würden). Erstellen Sie eine test.phpDatei und prüfen Sie, ob dies immer noch geschieht.
Antwort3
Ich habe die betreffende Site aufgerufen und sie hat versucht, einen Trojaner wie diesen zu installieren:
http://www.martinsecurity.net/2008/09/04/analyzing-a-malicious-pdf-trojpdfjs-a/
Lädt eine bösartige PDF-Datei mit JavaScript. Wenn man sich den Code ansieht, sieht er auch sehr ähnlich aus. Sollte man wahrscheinlich vermeiden, es sei denn, Sie haben Ihren Computer gesperrt. Was Lösungen angeht, denke ich, dass die Kontaktaufnahme mit Ihrem Hosting-Unternehmen, wie Anapologetos sagte, der wesentliche erste Schritt wäre.
Antwort4
Was ist der JavaScript-Code in Ihrer Seitenquelle nach dem schließenden HTML-Tag?
Außerdem würde ich mir die Erweiterung holen, die Ihre WordPress-Version vor der Seitenquelle verbirgt, da sie als Meta-Tag ( <meta name="generator" content="WordPress 2.7.1" />) angezeigt wird. Ich sehe beispielsweise, dass Sie „WordPress 2.7.1“ verwenden (das ist die aktuelle Version :claps:), aber sobald ein Exploit dafür gefunden wird, können die Leute danach suchen.
Überprüfen Sie auch die anderen Dateien, die Ihre WordPress-Installation verwendet. Ich weiß, dass sie andere Dateien enthalten und erfordern können (werden nicht in der Seitenquelle angezeigt, da sie PHP-basiert sind), und ich weiß, dass Erweiterungen/Designs dies ebenfalls tun können. Stellen Sie daher sicher, dass diese auf dem neuesten Stand sind.
Überprüfen Sie außerdem, welche Erweiterungen und Designs installiert/aktiviert sind, und entfernen Sie alle, die Sie nicht kennen.