Ik ben met spoed op zoek naar iemand die mij kan helpen bij dit probleem. Sinds vandaag krijg ik bij een aantal van mijn sites een inlogscherm te zien van Windows Beveiliging. Het lijkt of er bestanden zijn toegevoegd op de ftp. In de httpsdocs map zie ik namelijk bestanden staan die ik niet zelf heb geplaatst. Één van deze bestanden bevat een javascript dat inderdaad linkt naar dit inlogscherm.

Ik heb er zelf niet veel verstand van. Maar ik vrees dat ik malware op mijn computer had staan, die zo mijn ftp programma is binnengedrongen en dit heeft geplaatst op de websites. Malwarebytes gaf namelijk meerdere meldingen en ik bleek via een proxy te surfen.

Kan dit of is er iets heel anders aan de hand? En wie kan mij helpen om dit weer goed te krijgen? Alvast bedankt voor de reacties.

Vince,

Er kan inderdaad malware op je pc staan en het kan gelopen zijn zoals je zegt, maar het zal er vermoedelijk op een andere manier opgeraakt zijn.
Vermoedelijk maak je gebruik van een CMS (Wordpress, Joomla, Drupal,..)? In zo'n CMS zijn vaak bekende gaten aanwezig waardoor hackers adware en malware kunnen injecteren in je website.

Een tip in geval je een CMS gebruikt: hou je CMS steeds up-to-date.

Als je ziet waar de malware zich in je code bevind kan je deze daar verwijderen, maar wat ik meestal doe: ik zet alle bestanden op de ftp server terug van een backup van een dag voordien (of een dag toen alles nog OK was).. Zo weet je zeker dat er geen malware meer opstaat en er niets veranderd is in code zonder dat je het weet. Ook verander je dan best je wachtwoorden die je in je configuratiefiles opslaat.

Als laatste kan ik je het Google webmasterplatform aanraden: https://www.google.com/webmasters/tools/home?hl=nl , voeg je websites hieraan toe en google zal ze controleren op adware. Eenmaal er adware op zit wordt je gewaarschuwt en ze geven ook meestal mooi aan waar de adware zich bevind.
Dit voorkomt ook dat je site door zoekmachines geblacklist gaat worden.

Bedankt voor je reactie Steve! Het gaat hier inderdaad om Wordpress websites. Dat backupen lijkt me inderdaad wel de beste optie. Is het ook nodig om de ftp inloggegevens aan te passen? Of kunnen ze dat niet zien?

Als je een backup van gisteren hebt toen het nog perfect werkte zou ik die gewoon terugzetten en eventueel ook je databank als er geen data veranderd is..

Ik zou alle wachtwoorden wijzigen: wordpress, mysql, ftp, cpanel/plesk/da/..

is het alleen op een pc? Misschien dat je pc geïnfecteerd is en niet je website? Wat is de url?

Hoi Vince,

Zoals ik laatst al in m'n nieuwsbrief vermeldde, en Steve ook zegt: Houdt je CMS up-to-date.

De vervolgstappen voor een gehackte website; alle mogelijke wachtwoorden wijzigen.

Omdat je vermoed dat je computer ook is gehackt, raad ik je aan om een aantal anti-malware applicaties te downloaden. Doe je dat niet, nestelt de worm zich automatisch weer op de website.

Het is daarna aan te raden om niet alleen een backup te draaien, maar een onderzoek te doen, of te laten doen, naar andere bestanden op de server. Met alleen een backup ben je er nog niet, omdat niet zeker is hoe lang de malware al op de computer/server aanwezig is. Het is heel goed mogelijk dat er ofwel (nog steeds) een lek zit in de website (ik zag wordpress voorbijkomen, daar kunnen op meerdere verschillende plekken lekken zitten), een backdoor zit, of dat de (shared) hosting onveilig is.

Hoor het graag of het is opgelost!

Groeten,
Chris

Bedankt voor de reacties. Ik ga er mee aan de slag.

Ik kan trouwens wel precies zien naar welk bedrijf het iframe linkt. Zouden dit de 'daders' zijn of ook een gehackte site? Anders is het wel heel makkelijk en heb ik zo het (Nederlandse) adres om eventueel aangifte te doen.

Origineel gepost door Mayar.T

is het alleen op een pc? Misschien dat je pc geïnfecteerd is en niet je website? Wat is de url?

Nee het is op alle computers. En ik heb ondertussen ook de code gevonden in de sites.