Beste,

Paar degen geleden kreeg ik een mail -> een site van me werd in verband gebracht met phishing. Ik was me van geen kwaad bewust.

Dit werd naar mijn host verstuurd:

VAN NETCRAFT NAAR HOST


> Van: Netcraft Takedown Service
> Onderwerp: Issue 0247130: phishing attack at http://www....


> Geachte heer, mevrouw,
>
> Hierbij informeren wij u dat u op dit moment een phishingaanval faciliteert tegen één van onze klanten, xxxxxxxx
>
> http://www....xxxxxxxxxxxx
>
> Wellicht bent u niet op de hoogte van deze aanvallen. Echter, het is uw verantwoordelijkheid de phishing stop te zetten en de website uit de lucht te halen. Wij verzoeken u daarom vriendelijk doch dringend om de website per direct uit de lucht te halen.
>
> Tevens vragen wij u de inhoud van deze frauduleuze website veilig te bewaren, zodat onze klant en/of gerechtelijke instanties dit in een later stadium kunnen onderzoeken.
>
> Hartelijk dank voor uw medewerking.
>
> Met vriendelijke groet,
>
> Netcraft Ltd.
>

BEGELEIDENDE TEKST VAN HOST

Ik heb de domeinnaam suspended. Controleer de bestanden en stel deze veilig en verwijder deze van de webruimte. Verander ook al uw wachtwoorden en controleer of uw website up to date is.

__________

Geen idee wat dit allemaal is. De verwezen pagina is een pagina met wat tekst en geen idee hoe dit in verband kan worden gebracht met phishing. Enig idee wat ik kan doen? Pagina verwijderen, pw veranderen, updates doorvoeren en dergelijke lijken me een goed begin? Moet ik me zorgen maken?

Mvg

Was je CMS e.d. uptodate?

Of je je zorgen moet maken: Ja!
Het feit dat je deze melding hebt gekregen (mits hij klopt) laat zien dat je account lek is en is gehackt voor misbruik!

- Gebruik nooit 777 rechten op mappen of bestanden, vervang dit door 755;
- Update CMS systemen en plugins;
- Schakel eventueel tijdelijk een contactformulier of plugin uit om te controleren of dat effect heeft;
- Beveilig mappen die niet toegankelijk hoeven te zijn voor anderen middels bijvoorbeeld .htaccess. Denk aan back-end systemen;
- Tot slot raad ik aan wachtwoorden van FTP en Mail accounts te wijzigen.

Groeten,
Robert
iXL Hosting

En als je Filezilla gebruikt: meteen dumpen en WinSCP gaan gebruiken. Dat slaat, als je een hoodfwachtwoord instelt, de FTP gegevens tenminste encrypted op je PC op. Filezilla slaat ze als tekst op wat in het geval van een gehackte PC allesbehalve prettig is....

Bedankt voor alle bruikbare tips.
De meest cruciale heb ik reeds daarnet doorgevoerd: updaten van wp en de plugins (want bij deze site dient dit handmatig te gebeuren, ... Iets wat ik veel te lang heb laten liggen), veranderen wachtwoorden. Morgen voer ik de rest uit.

Ik heb mijn lesje wel geleerd :)

En vergeet dan ook niet om de bestanden van het theme middels FTP opnieuw te uploaden, daar zit vaak ook de ellende in.

Het is wel verstandig om een backup te maken van de geïnfecteerde website. Mocht het tot een rechtszaak komen moet jij aantonen dat je gehackt bent, kun je dit niet dan gaat het recht er van uit dat je zelf die pushing site gerealiseerd hebt.

Je kunt nu alles wel updaten, maar dat heeft zeer waarschijnlijk geen zin meer.
Wanneer het werkelijk om phishing ging dan staat er nu ergens een diep verscholen php bestand waarmee iemand extern zonder moeite nieuwe html (phising pagina's) kan genereren. Zo'n bestandje is erg lastig op te sporen, je zou wellicht een tooltje kunnen gebruiken dat alle mappen van een verse installatie vergelijkt met je huidige installatie.

Het enige wat je kunt doen (en moet doen) is een volledige wipe van je serverruimte en een schone installatie uitvoeren (dus ook geen backup terugzetten waar mogelijk geïnfecteerde bestanden in zitten).

Ik had gehoopt dat alles opgelost ging zijn, maar Remo heeft een punt.
Site is opnieuw offline wederom wegens phising.


"Het enige wat je kunt doen (en moet doen) is een volledige wipe van je serverruimte en een schone installatie uitvoeren (dus ook geen backup terugzetten waar mogelijk geïnfecteerde bestanden in zitten)." -> De vraag is dan - hoe doe ik dit?

Gewoon alles verwijderen en WP terug installeren en vervolgens de artikels importeren? Dan blijven de URLS gelijk en ook de posities binnen Google?

Site staat op een shared host.

http://sitecheck.sucuri.net/

Dan krijg ik dit. Voor 90 dollar op te lossen. Te vertrouwen?

Status:	Site Potentially Harmful. Immediate Action is Required.
Web Trust:	Blacklisted (9 Blacklists Checked): Indicates that a major security company (such as Google, McAfee, Norton, etc) is blocking access to your website for security reasons. Please see our recommendation below to fix this issue and restore your traffic.

1. Maak een lijst met je gebruikte theme en plugins
2. Download alle afbeeldingen (en onthoud waar ze stonden, zowel van de content als het theme (logo, banners etc))
3. Verwijder al je public_ html bestanden en bestanden in de mappen ernaast die er niet thuis horen (in overleg met je host?)
4. Gooi FileZilla oid van je PC
5. Scan je PC met je antivirus én antimalware software
6. Download/installeer WinSCP (gratis)
7. Verander je FTP wachtwoord
8. Vul daar nieuwe FTP gegevens in WinSCP in en beveilig die met een hoofdwachtwoord(!!!)
9. Maak een backup van de database
10. Gooi die database en de afbeeldingen voor de zekerheid nog even door de virusscanner
11. Maak een nieuwe database aan
12. Importeer daar je backup in
13. Download Wordpress, het theme en alle plugins handmatig
14. FTP vervolgens Wordpress, theme, plugins en afbeeldingen naar de server
15. Ga naar /public_html/wp-config.php en vul daar de benodigde gegevens (van o.a. de nieuwe database) in

En na een klein uurtje draait je site weer en kun je met een gerust hart slapen. Mocht er nu nog iets aan de hand zijn dan is het "out of your hands" en mag je hostingprovider de mouwen opstropen. En natuurlijk zul je (net als ik nu, ik was de afbeeldingen bijna vergeten...) daarna ook nog lang piekeren of je niets vergeten bent. Je kunt natuurlijk ook eerst al je bestanden downloaden (en door de virusscanner halen!) als backup maar pas op dat je ze niet hergebruikt zonder dat je zeker weet dat er geen ellende in zit.