WordPress DK Forum Topic: Angrebet på en række domæner

WordPress DK Forum Topic: Angrebet på en række domæner http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner WordPress DK Forum Topic: Angrebet på en række domæner da-DK Tue, 09 Jun 2026 18:55:37 +0000 http://bbpress.org/?v=1.0.1 <![CDATA[Søg]]> q http://wp-danmark.dk/forum/search.php RandiRixen om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12730 søn, 18 okt 2009 11:37:15 +0000 RandiRixen 12730@http://wp-danmark.dk/forum/ Hej Mikaal Boldt. Først og fremmest vil jeg sige stort tak fordi at du tog dig tid til at svare på min spørgsmål. Jeg har nu haft gjort hvad du beskriver på ét af domænerne og det er da også lykkedes mig at få noget fornuftigt op og køre igen. Mit spørgsmål lyder dog nu på - om det er muligt at rydde op (med en ny version af wordpress), og stadig bevare alle blog-indlæg samt kommentarer? Sidst lod jeg wp-content mappen liggende, som den eneste. Men her ligger jo kun alle billederne? P.s. Har nu taget back-up af den nye side - er træt af at græde! boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12663 tirs, 13 okt 2009 09:01:24 +0000 boldt 12663@http://wp-danmark.dk/forum/ Hackerne indsætter en index.htm fil da htm har prioritet over php. Jeg oplevede sidste weekend 3 hacker angreb: 1. angreb indsatte hacker kode i alle filer med "index" i navnet samt gemte en lille stump spionkode en folder x et par niveauer nede. 2. angreb indsatte kun en index.htm fil i roden af hjemmesiden 3. angreb slettede alle filer i roden og i øverste mapper - men bevarede mappe-strukturen og indsatte egen index.htm Læs følgende grundigt igennem inden du går videre - det er nemlig på eget ansvar!!! Du skal, når du er blevet angrebet, gennemgå samtlige hjemmesider du har på din gigahost konto. Du skal mindst ændre kodeord for din konto, og så skal du kraftigt overveje om du ikke skulle have forskelligt kodeord for din FTP/Kontrolcenter og for din MySQL. Hvis din WP er blevet angrebet så gør følgende: (jeg går udfra at du bruger standard opsætning af WP, så bla. billeder gemmes under wp-content) 1) hent en ny frisk installation af WP på <a href="http://da.wordpress.org/" rel="nofollow">http://da.wordpress.org/</a> 2) skriv en ny wp-config.php 3) slet alt på dit webhotel undtagen wp-content mappen. 4) upload den ny WP 5) gå i din browser til minhjemmeside/wp-admin/upgrade.php Da mappen wp-content ikke er blevet opdateret skal den nu gennemgås med en "tættekam" a) slet alle plugin og temaer du ikke benytter. b) besøg tema og plugin hjemmesider for at hente de nyeste versioner (det er ikke alle temaer og plugins som bliver automatisk opdateret af WP) c) kig alle filer og mapper efter. evt hackerfiler er oprettet/ændret omkring det tidspunkt som hacker index.htm filen havde i roden. Læs lige en gang til og spørg, hvis der er noget du ikke forstår Folk der spørger er kun dumme mens de stiller spørgsmålet rigtige mænd tager ikke backup - de græder Mikael Boldt stffn om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12652 man, 12 okt 2009 22:36:23 +0000 stffn 12652@http://wp-danmark.dk/forum/ Så vidt jeg har forstået, så er det nok at smide en ny index.php op på serveren - ikke den der er i Themes mappen, men den der ligger helt i roden af din installation. Vent hellere lige på svar, fra én af dem der har haft med det at gøre... RandiRixen om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12650 man, 12 okt 2009 22:27:14 +0000 RandiRixen 12650@http://wp-danmark.dk/forum/ Jeg har brug for et godt råd fra jer, mere garvede kodere. Jeg er desværre også blevet angrebet på mine 3 domæner, som alle ligger hos gigahost. Er desværre ikke den mest garvede koder, men det var trods alt lykkedes mig at få lavet en familieblog på familienrix.dk, en blog og site til min bror på jimmi-olsen.dk samt et site til min mors bed & breakfastvirksomhed. Faktum er, at jeg ikke har en kopi af de gamle indexfiler - mit spørgsmål lyder da på, om jeg bliver nødt til at slette alle filer på webserveren og da foretage en ny installation af wordpress og da starte alle sites op på ny? Ville jo helst ikke miste alt det indhold, som der lå på siderne.. Kan ikke lige overskue hvordan at jeg kommer videre - håber at i kan hjælpe! Venligst, Randi Rix Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12556 tirs, 06 okt 2009 21:07:36 +0000 Anders Saugstrup 12556@http://wp-danmark.dk/forum/ Jeg havde det nok på fornemmelsen: Det var ikke helt ovre endnu! :) I dag blev et af mine domæner defaced igen på forsiden (erstatning af temaets index.php fil med noget med brændende flag og sårn) Og fandt jeg sgu bagdøren! Det var en lille fil som de kaldte x4.php (den hedder sikkert noget andet hos jer andre), som lå i roden af en af domænenernes mappe. Jeg fandt den ved en tilfældighed, som du kan kopiere for at finde din udgave af filen med lidt held. Sådan gør du: -Installer det glimrende gratis antivirusprogram, <a href="http://www.free-av.com/en/trialpay_download/1/avira_antivir_personal__free_antivirus.html">Avira</a> -Når det er installeret og opdateret helt, så log på FTPen og download alt til en mappe på din computer - altså fx på gigahost: Download hele www mappen med alle domænerne i. -Når den downloader en fil med definitionen for bagdøren i, råber avira op med en advarsel, og du har fundet synderen (eller en af dem). Det er en backdoor der hedder PHP/C99Shell.A - <a href="http://www.viruslist.com/en/viruses/encyclopedia?virusid=188613">læs mere her</a> Jeg har filen gemt hvis nogen vil se den. Mvh Anders Saugstrup boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12518 søn, 04 okt 2009 21:35:28 +0000 boldt 12518@http://wp-danmark.dk/forum/ jeg skrev til gigahost for at få forskellige password på ftp og mysql. svaret er her: <blockquote>Du kan godt sætte et forskelligt password til MySQL og FTP/kontrolcenter. Skift blot koden til MySQL i phpMyAdmin med "Change password"-linket. Herefter vil kontrolcenteret dog ikke kunne administrere databaserne da det ikke selv har adgang.</blockquote> bemærk: det hedder ikke "Change password" men "Ændre kodeord" mpih om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12517 søn, 04 okt 2009 21:27:26 +0000 mpih 12517@http://wp-danmark.dk/forum/ Når der plejer at være angreb på Wordpress eller andre CMS'er, så synes jeg man normalt ser noget om det rundt omkring. Denne gang er det kun hos Gigahost, der ser ud til at blive angrebet, og det får mig naturligvis til at spidse ører. Gigahost siger, selvfølgelig, at det ikke er et problem hos dem, men når mindst 12 kunder uafhængigt af hinanden samtidigt bliver angrebet hos én hosting-udbyder, så lyder det mærkeligt i mine ører. Jeg håber naturligvis bare, at det er et tilfælde, og at alle de ramte tilfældigvis bare har det samme hullet plugin installeret, og at det ikke fx skyldes en upatchet server. Ikke desto mindre ser jeg lidt bekymret på det. Er jeg den eneste, som gør det? Michael G om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12516 søn, 04 okt 2009 20:19:25 +0000 Michael G 12516@http://wp-danmark.dk/forum/ Anders, det er jo også mærkeligt at man ikke har den mulighed hos Gigahost. Nu har jeg brugt det meste af dagen i går på at få alle mine sites op og køre igen. Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12514 søn, 04 okt 2009 19:36:26 +0000 Anders Saugstrup 12514@http://wp-danmark.dk/forum/ Boldt, jeg har bedt om og fået indført at jeg har et andet password til FTP+kontrolpanelet end jeg har til databaserne. På den måde kan man ikke læse i wp-config.php hvilket login og password der skal bruges til FTP. Ved ikke om det er nok til at stoppe galskaben, men det er nok værd at tage med? Mvh Anders Saugstrup boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12513 søn, 04 okt 2009 19:05:15 +0000 boldt 12513@http://wp-danmark.dk/forum/ Arrghhh kl 18:45 blev jeg angrebet igen! Jeg har ellers været hele turen igennem med fjernelse af gammelt skrammel, nye paswords, og minimalistisk opsætning. kun SMF og Wordpress stffn om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12481 lør, 03 okt 2009 17:54:00 +0000 stffn 12481@http://wp-danmark.dk/forum/ <blockquote>Steffen, har du også en forside som de her: <a href="http://acegroup.dk/" rel="nofollow">http://acegroup.dk/</a> , <a href="http://halmbygger.dk/" rel="nofollow">http://halmbygger.dk/</a> ? Eller kan det være et almindeligt nedbrud du er ramt af?</blockquote> Det var tilsyneladende bare et almindeligt nedbrud - alt er oppe og køre igen nu. boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12480 lør, 03 okt 2009 16:02:15 +0000 boldt 12480@http://wp-danmark.dk/forum/ Jeg fik i morges denne vejledning fra gigahost: " Vores system har konstateret en eller flere af dine sider på kontoen "xxxxxxxx" er blevet hacket. Vi har analyseret angrebet som umiddelbart ser ud til at være et såkaldt "drive-by angreb" hvor hackere bruger automatiske scripts til at afprøve kendte sikkerhedsfejl - og de søger så på eksempelvis Google efter sider der bruger scripts hvor der kan være sikkerhedsfejl i. Det drejer sig oftest om ældre versioner af systemer som Joomla!, WordPress, PHP-fusion eller andre CMS-systemer der ikke er blevet sikkerhedsopdateret. Det kan også være at man benytter et plugin eller tema/template til disse systemer som indeholder sikkerhedsfejl eller ikke er blevet opdateret. Det skal bemærkes at der kan være tale om flere samtidige fejl. Så snart én side på ens webhotel er kompromitteret - så kan hackeren skaffe sig adgang til alle ens sider, eksempelvis ved at aflæse adgangskoden i en konfigurationsfil til databasen. Det anbefales derfor at man sikre at alle sider ikke er blevet ændret så de indeholder bagdøre eller lignende. Desuden anbefaler vi at man følger vores simple sikkerhedsvejledning: 1) Opdater alle dine scripts (inkl. deres moduler, extensions, addons, components, themes, templates, patches og lignende udvidelser) til nyeste version. Sørg jævnligt for at gøre dette, og følg med i nyhederne omkring disse opdateringer. Det er meget vigtigt at forstå at sikkerheden går tabt hvis bare ét af disse indeholder sikkerhedsfejl. 2) Skift adgangskoden hvis du ikke allerede har gjort det. Hackeren kan muligvis have aflæst din kode ud fra en konfigurationsfil til databasen, eller lignende. Sørg for at bruge en lang kode med både tal og bogstaver. 3) Upload alt på ny. Du kan ikke længere stole på det indhold, der ligger på siderne, idet hackeren kan have lagt bagdøre ind. Bemærk at dette gælder alle dine domæner (hvis du har mere end ét). Hvis hackeren har haft koden, kan der være lagt indhold eller bagdøre på de øvrige domæner også. Desuden skal det bemærkes at hackeren kan bruge dine domæner til yderligere kriminalitet eksempelvis ved at lægge scripts op der sender spam ud i dit navn, eller falske sider der bruges til at snyde folk til at udlevere personlige oplysninger så som bankoplysninger eller kreditkortoplysninger. Det er dit ansvar at sikre dette. 4) Beskyt dig selv mod de såkaldte "drive-by" angreb. Disse angreb sker ved at hackere søger efter folk der bruger specifikke versioner eller udgaver af scripts for derefter at afprøve kendte sikkerhedsfejl på alle plug-ins, komponenter, udvidelser, addons, extensions, moduler, temaer, templates, patches og lignende. Det er derfor en god ide (så vidt muligt ifølge den licens man har) at skjule så mange kendetegn som overhovedet muligt. Dette kunne eksempelvis være HTML-tagget "<meta name="generator" content="SCRIPT NAME v1.23" />" som meget nemt kan bruges til at identificere scriptets art. Ligeledes kan fodnoter og alt andet der kendetegner scriptet have betydning. 5) Sørg for at følge med i hvad der sker omkring dine scripts (og dertilhørende bestandele) og deres sikkerhed. Det er en god ide at følge med i officielle mailing-lister og generelt tjekke nyhederne omkring de scripts man bruger ofte. 6) Overvej dine sikkerhedsbehov. Hvis din side er særlig udsat, så overvej professionel assistance. Ofte er sider med politisk eller religiøst indhold eller meninger mere udsat. Ud over dette så er sider der henvender sig mod IT-branchen også ekstra udsat. Ligeledes hvis siden på nogen måde er kontroversiel. 7) Overvej hvem der har adgang til sårbare områder. Dette er især webhotellets kontrolcenter, database og FTP. Sørg for det kun er dem hvor det er absolut nødvendigt, og sørg for at sikre dig at det ikke bliver givet videre. Det er desuden vigtigt at skifte kode med jævne mellemrum, i tilfælde af at en af dem der måtte have koden er blevet kompromitteret. Desuden er det også værd at overveje hvem der har adgang til administrative områder af ens side, da disse typisk kan give yderligere adgang eller i sig selv bruges ondsindet. 8) Faren for at en hacker kommer igen og forsøger samme fejl som før har givet adgang er desuden meget stor. Dette skyldes at hackere ofte holder databaser over sårbare sider, eller trofæ-lister over de sider de har hacket. Disse bliver desuden ofte delt til andre hackere - og derfor er man allerede meget mere udsat så snart man har været hacket én gang. Er du i tvivl om noget så er du velkommen til at skrive til vores support: " peteandersen om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12479 lør, 03 okt 2009 15:41:58 +0000 peteandersen 12479@http://wp-danmark.dk/forum/ Øv øv. Jeg har også fået hacket 10-12 domæner på Gigahost. Nogle har været godt beskyttet (a la Saugstrup), andre ikke, men alle domæner på min konto er ramt. Ligger web3. Mine hacks er såvidt jeg kan se først sket her i eftermiddag. Jeg har da været på tidligere i dag hvor de var OK. Har foreløbigt kun slettet den nye index-html der var lagt ind. Kører med et hav af plugins. Hvad nu? <script type="text/javascript" src="http://twitter.com/javascripts/blogger.js"></script> <script type="text/javascript" src="http://twitter.com/statuses/user_timeline/.json?callback=twitterCallback2&count=1"></script></code> Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12478 lør, 03 okt 2009 15:01:21 +0000 Anders Saugstrup 12478@http://wp-danmark.dk/forum/ Det er det sikkert eller også noget helt tredie. Jeg har ikke haft CMSimple, og mine installationer er rigtigt godt patchede, men du har ret: Et forladt plugin kunne være forklaringen. Mark Thomas Gazel om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12477 lør, 03 okt 2009 14:52:35 +0000 Mark Thomas Gazel 12477@http://wp-danmark.dk/forum/ @Anders: Har du så også haft en installation af CMSimple? Eller hvordan tror du, at hackeren er kommet ind? Det kunne jo være, at det er et usikkert WordPress-plugin. Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12476 lør, 03 okt 2009 14:44:50 +0000 Anders Saugstrup 12476@http://wp-danmark.dk/forum/ Nu kører anden bølge af angrebet ski! Denne gang ved simpelthen at lægge en index.html fil i roden med dette indhold: <code><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD><TITLE>Evil-Cod3r - <a href="mailto:Dz@hotmail.Com">Dz@hotmail.Com</a></TITLE> <META content=ar-sa http-equiv=Content-Language> <META content="text/html; charset=unicode" http-equiv=Content-Type> <META name=GENERATOR content="MSHTML 8.00.6001.18812"> <META name=ProgId content=GacUcc3></HEAD> <body dir=rtl background="" aLink=#ff0000 link=#0000ff bgColor=#000000 text=#ffffff vLink="#800080" > <FONT style="BACKGROUND-COLOR: #000000"># ~ Evil-Cod3r ~ #                     <IMG style="Z-INDEX: 100; POSITION: absolute; WIDTH: 300px; HEIGHT: 281px; TOP: 140px; LEFT: 480px" alt=http://4.bp.blogspot.com/_T6-yynP3gQo/So1YgNPQWqI/AAAAAAAAAOw/TwAre2fwxys/s400/hacked.jpg src="http://4.bp.blogspot.com/_T6-yynP3gQo/So1YgNPQWqI/AAAAAAAAAOw/TwAre2fwxys/s400/hacked.jpg" width=300 height=291> Email : <a href="mailto:Dz@hotmail.Com"><a href="mailto:Dz@hotmail.Com">Dz@hotmail.Com</a></a> - <a href="mailto:iE7@Windowslive.Com">iE7@Windowslive.Com</a> <FONT color=#ffffff size=4 face=Tahoma>v4-Team H4x0rZ ><b > ><b > <BGSOUND ><body> <embed src="http://campusfocus.net/images/M_images/rsool.rm" width=0 height=0 border="0" type=audio/x-pn-realaudio-plugin controls ="ControlPanel,StatusBar" true loop="0" autostart="True"> </BODY> </code> Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12475 lør, 03 okt 2009 14:24:17 +0000 Anders Saugstrup 12475@http://wp-danmark.dk/forum/ Hej alle Gigahost har lige sendt mig en mail med lidt mere om sagen: "Vi har i nat sendt en mail ud til de ca 15 brugere vi har opdaget, som er blevet hacket. I alle tilfældene har der været et CMS-system eller andet script på et eller flere af domænerne. Vi er desuden overbeviste om at der ikke er tale om et generelt problem med serveren, da der dels ingen tegn er på adgang på overliggende niveau og dels ville det i så fald være gået ud over flere brugere end de 15. Bemærk at hvis en hacker først får adgang til et domæne på en Gigahost-konto, er det rimelig simpelt at få adgang til de øvrige domæner på samme konto. Hvis du har spørgsmål er du velkommen til at skrive tilbage - også hvis I fx vil have access-logfiler eller lign." boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12474 lør, 03 okt 2009 11:59:03 +0000 boldt 12474@http://wp-danmark.dk/forum/ web3.gigahost.dk jeg har skrevet til gigahost - det var det første jeg gjorde Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12473 lør, 03 okt 2009 11:54:10 +0000 Anders Saugstrup 12473@http://wp-danmark.dk/forum/ Steffen, har du også en forside som de her: <a href="http://acegroup.dk/" rel="nofollow">http://acegroup.dk/</a> , <a href="http://halmbygger.dk/" rel="nofollow">http://halmbygger.dk/</a> ? Eller kan det være et almindeligt nedbrud du er ramt af? stffn om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12472 lør, 03 okt 2009 11:51:14 +0000 stffn 12472@http://wp-danmark.dk/forum/ Jeg ligger på web11, så det er nok lidt større angreb der er i gang... Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12471 lør, 03 okt 2009 11:36:43 +0000 Anders Saugstrup 12471@http://wp-danmark.dk/forum/ Her er listen over de domæner, som ligger på omtalte webserver: <a href="http://netnationen.dk/search/server/217.116.232.247/" rel="nofollow">http://netnationen.dk/search/server/217.116.232.247/</a> En hurtig gennemgang afslører at der er rigtigt mange på den server som er ramt. Eksempel: <a href="http://acegroup.dk/" rel="nofollow">http://acegroup.dk/</a> , <a href="http://halmbygger.dk/" rel="nofollow">http://halmbygger.dk/</a> Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12470 lør, 03 okt 2009 11:26:24 +0000 Anders Saugstrup 12470@http://wp-danmark.dk/forum/ Hej alle Ærgeligt at jeg ikke var den eneste - det havde jeg ellers håbet da jeg ikke kunne finde nogen rapporter fra andre om problemet i nat. Hvilket af gigahosts webservere ligger jeres ting på, Boldt og Steffen? Mine ligger på web3.gigahost.dk (dvs hvis jeg pinger et af mine websites svarer IP: 217.116.232.247) Ligger jeres også der? Husk at skrive til Gigahost support om problemet, så de får alle de oplyninger de skal bruge. Hvis man spørger google hvem der er ramt på .dk domæner kommer der indtil videre en kort liste op: <a href="http://www.google.com/search?q=Mn7oS+inurl:.dk" rel="nofollow">http://www.google.com/search?q=Mn7oS+inurl:.dk</a> På listen finder jeg da to andre domæner fra samme web3-webserver/IP som nævnt. (Det tager lang tid før Google indekserer og optager alle ramte domæner, så de kommer frem i en sådan søgning, så dette er kun første spor) Ellers er meldingen nu hvor jeg er vågnet op igen, at mine reparerede sites fra i nat stadig fungerer - ingen nye angreb som jeg hurtigt kan få øje på. (der kan sagtens være gemt ting og sager alligevel) Mvh Anders Saugstrup boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12469 lør, 03 okt 2009 10:36:38 +0000 boldt 12469@http://wp-danmark.dk/forum/ mine sider har på intet tidspunkt været nede. men som sagt alle index filer var blevet overskrevet med denne kode: <blockquote>< html dir="rtl"> < head> < meta http-equiv="Content-Language" content="en-us"> < meta http-equiv="Content-Type" content="text/html; charset=windows-1252"> < title>Hacked By Mn7oS< /title> < /head> < body text="#FFFF00" bgcolor="#000000">     H4x0r3D By Mn7oS   Anti .dk  &  .nl  Sites   :) < /body> < /html></blockquote> Jeg har ellers ikke fundet noget ændret i WP - men det er også rigeligt, da alle temaer indeholder en index fil. Har du kigget i dit webhotel med ftp?, så kan du let se om index filerne er ændret På sådan en regnvejrsdag er man glad for sine backup's. stffn om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12468 lør, 03 okt 2009 10:12:05 +0000 stffn 12468@http://wp-danmark.dk/forum/ ALT hvad jeg har hos Gigahost er nede. Kan det tænkes, at Gigahost har lukket ned af sikkerhedshensyn? Mark Thomas Gazel om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12467 lør, 03 okt 2009 09:31:52 +0000 Mark Thomas Gazel 12467@http://wp-danmark.dk/forum/ Uha, det er ikke så godt. Der er *rigtig* mange WordPress-installationer hos Gigahost, da de jo er blevet anbefalet herfra. boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12465 lør, 03 okt 2009 08:49:20 +0000 boldt 12465@http://wp-danmark.dk/forum/ jeg har nu fundet hullet. Det var en gammel hjemmeside, som jeg havde bygget op med CMSimple.dk det var også her jeg fandt en mappe med navnet x og som indeholdt en html fil. boldt om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12464 lør, 03 okt 2009 06:56:21 +0000 boldt 12464@http://wp-danmark.dk/forum/ jeg er også vågnet op til hackede hjemmesider på gigahost. alle mine sider, både wp og andre er blevet angrebet. tak for oplysningerne om hvordan og hvor det bliver en travl lørdag - godt det er regnvejr. Anders Saugstrup om "Angrebet på en række domæner" http://wp-danmark.dk/forum/topic/angrebet-pa-en-r%c3%a6kke-dom%c3%a6ner#post-12463 lør, 03 okt 2009 03:39:19 +0000 Anders Saugstrup 12463@http://wp-danmark.dk/forum/ Hej alle Jeg har haft fornøjelsen af at sidde oppe hele natten for at rydde op efter et hacker angreb som strakte sig på tværs af mine domæner på et gigahost.dk webhotel. Det var Wordpress hele dynen, men det ser ikke ud til at hacket er gået via Wordpress. Alle blogs var fuldt opdaterede, med ekstra sikkerhedsplugin, slettet admin-bruger osv osv. I stedet ser det ud til at hackeren har skaffet sig adgang via min ftp-konto eller via et angreb på webserveren. Derefter har hackeren lavet en søg og erstat på alle index.php filer (inkl roden af wordpress, temaernes index.php filer, wp-admin/index.php osv.) Og den nye fil som ligger overalt ser sådan ud: Title: Hacked By Mn7oS Body: H4x0r3D By Mn7oS & Abu-Slman Jeg har valgt i første omgang bare at skifte password til FTP og database, sætte det nye db password i wp-config.php, uploade nye versioner/backups af index.php filerne (særligt den i roden og den i roden af det aktive temas mappe er afgørende for at sitet kører igen) Og til sidst at opdatere wordpress og dermed overskrive de sidste index.php filer rundt omkring. Jeg har også informeret gigahost så de ser helt sikkert på sagen og undersøger om der er et hul der skal lappes et sted. Ja, og så tænkte jeg lige at jeg ville dele oplevelsen (og løsningen indtil videre) med jer, hvis nogen skulle være så uheldig at løbe på noget af det samme. Mvh Anders Saugstrup Sov godt! :)