Sinds vandaag krijg ik op verschillende websites die ik host de volgende melding: **** bevat inhoud van osbasedreceiva.pl, een site waarvan bekend is dat deze malware distribueert. Als u deze site bezoekt, kan uw computer worden geïnfecteerd.

Ik heb dit probleem nog nooit eerder meegemaakt. Heeft iemand enig idee hoe ik dit oplos? Ben ik de enige die deze melding te zien krijg? Want op de iphone/ipad doet de website het nog.

Hallo Boy,

Je bent niet de enige. Bijna al mijn websites zijn geïnfecteerd ondanks dat ze niet eens met elkaar in verbinding staan (via links of iets dergelijks) en ik zag ook al iemand op tbforum die hetzelfde probleem had.

Alleen mijn index.php en index.html bestanden zijn geïnfecteerd. Sommige websites zijn zelf gecodeerd, sommige draaien op Wordpress maar ook standaard index.html bestanden zijn geïnfecteerd bij mij.

Ik heb contact opgenomen met mijn hosting maar nog geen reactie gehad of ze iets hebben kunnen vinden.

Met vriendelijke groet,

Thijs
Aanvullend bericht:
Kwam dit toevallig nog tegen: http://labs.sucuri.net/?details=osbasedreceiva.pl

Origineel gepost door Thijs O

ik zag ook al iemand op tbforum die hetzelfde probleem had

Dat was ik... ik heb uiteindelijk maar al mijn sites gecheckt op http://sitecheck.sucuri.net/scanner/ en de geinfecteerde bestanden opnieuw geupload. Als je daar je URL invult wordt je hele site gecheckt, dus niet alleen de index.

De malware was als afbeelding van 1x1 pixel op diverse pagina's geplaatst (bij mij niet alleen op index) en de code daarvoor stond op mijn sites steeds direct onder de <body> tag. Simpelweg die regel code verwijderen lost het probleem op.

Volgens mijn hoster kon dit alleen gebeuren doordat een hacker mijn wachtwoord had achterhaald (aangezien de lokale bestanden niet geinfecteerd waren) dus dat heb ik direct veranderd.

Als je een actuele backup hebt kun je die natuurlijk ook gewoon terugzetten, waarschijnlijk is het pas gisteren of vandaag gebeurd. Vervolgens wel even je site op bovenstaande site checken (even onderaan op "recheck" drukken anders gebruikt hij gecachte resultaten).

@Marcel

Ik heb mijn websites gecheckt en op al mijn websites lijkt er alles nu uit te zijn. Helaas zijn sommige van mijn websites wel geblacklist maar dat zou via Google Webmaster Tools binnen één dag opgelost moeten zijn.

Zelf heb ik nog geen reactie van mijn hosting terug gehad maar in dat geval begin ik alvast met het wijzigen van mijn wachtwoorden.

Maar blijkbaar zijn we toch niet de enige die hier last van hebben.

Mijn websites waren gisteren rond 23:50 uur aan de beurt trouwens.

Ik heb hier dus ook last van samen met mijn vrienden. We hebben 6 versio hostings en 3 neostrada hostings en ze zijn allen besmet geraakt.

Bij mij hielp het om wordpress opnieuw te installeren ( gewoon wordpress uploaden over je oude bestanden. )
FTP en cpanel wachtwoorden zijn aangepast. Ben benieuwd of het hiermee gedaan is.

Dat werkt inderdaad Hans, bij Wordpress zijn alle index.php bestanden geinfecteerd (bij mij tenminste) en die simpelweg overschrijven lost het probleem op. Bij mijn HTML site waren ook andere pagina's geinfecteerd.

@HansK

Mijn websites zijn ook gehost bij Versio en toevallig zag ik net op http://www.versio.nl/status dat ze rond de tijd van mijn problemen ook groot netwerk onderhoud hadden. Nu weet ik niet of er dit iets mee te maken heeft aangezien Neostrada er blijkbaar ook last van heeft.

Origineel gepost door Thijs O

@HansK

Mijn websites zijn ook gehost bij Versio en toevallig zag ik net op http://www.versio.nl/status dat ze rond de tijd van mijn problemen ook groot netwerk onderhoud hadden. Nu weet ik niet of er dit iets mee te maken heeft aangezien Neostrada er blijkbaar ook last van heeft.

Ik heb ook een hosting in Duitsland ( strato ). en ik heb zelfs daar problemen. Ik denk dat dit een wordpress probleem is en niks met hosting te maken heeft.

Is niet alleen een Wordpress probleem, zoals ik al zei waren mijn HTML sites ook geinfecteerd en ik zit bij YourHosting.

Origineel gepost door Marcel Melis

Is niet alleen een Wordpress probleem, zoals ik al zei waren mijn HTML sites ook geinfecteerd en ik zit bij YourHosting.

Ik zit bij One2xs en heb gelukkig (nog) nergens last van. In ieder geval dank voor de berichtgeving, de back-up alvast gemaakt!

Ik heb het zowel bij Wordpress, standaard HTML sites en bij zelf gecodeerde PHP sites. Het lijkt dus niet aan een hosting of een bepaald CMS te liggen.

ik heb trouwens 1 server die nergens last van heeft. Dat scheelt weer.

Mensen die hier last van hebben, controleer je plugins en je `upload` directories. En eventuele .htaccess files. Verder probeer als dat kan via SFTP te werken en niet meer via FTP. Zorg ook dat je de laatste versie van wordpress gebruikt. Er wordt echt op dat script `gejaagd`.

Maar allereerst, zet je site op zwart. Per direct. Je databases (via config file) zijn hoogstwaarschijnlijk al gecompromitteerd. Upload je site op nieuw met een nieuwe config file erin en de laatste versie wordpress. Controleer je theme en maak deze schoon alvorens hem er opnieuw op te zetten. Plugins eerst controleren alvorens je ze activeert.

EDIT: Je hosting bedrijf kan er (waarschijnlijk!) weinig aan doen. Ik zie in de reacties dat het vooral bij wordpress voor komt, dus er zullen hoogstwaarschijnlijk pre-configured scripts gebruikt worden.

Iemand enig idee hoe lang het duurt voordat Google de websites weer als veilig beschouwd? De bestanden home, index en login waren geïnfecteerd.

https://support.google.com/webmaster...&answer=163634

Zodra wordt bevestigd dat uw site schoon is, kan het maximaal een dag duren voordat de malwarewaarschuwing voor uw site wordt verwijderd uit de zoekresultaten.

Overigens moet je dan volgens mij wel een controle verzoek doen in Google Webmaster Tools.