Hallo,

Deze site is gehackt en daardoor komen er dit soort pagina's.
Hoe kan ik dit het beste oplossen / hoe krijg ik het beste die hack eraf en die pagina's?

Bij voorbaat dank!

Wat doet je website op dit moment? Is het een WordPress website of een basic html/php template?

Wat je wilt verwijderen zijn de eval/base64 coderingen. Dat zijn de gecodeerde stukken die "niet bedoeld zijn on te lezen".
Het is vaak 1 lange lijn code met onduidbare cijfers en letters.

Succes!

Het gaat om een Wordpress site inderdaad

De meeste hack scripts zijn te vinden in:
1. De uploads mappen (daar horen geen php scripts te staan!)
2. De themes, plugins map (daar hoort alleen index.php te staan)

De eval en base64 code kun je vinden door middel van een thread scan plugin, of door middel van een complete files search met Notepad++

Het is natuurlijk altijd aan te raden om plugins te kopen, aangezien de "gratis" of "nulled" scripts vaak genoeg voorzien zijn van spam of backdoors.

En checken of je website nog steeds gehackt is kun je met de securi scanner of via de Google webmaster tools.

Oh en ik ben net wat te lui om naar mijn pc te lopen zo midden in de nacht maar als het te zien is op je paginas zit het vaak in de themefiles:
1. Header.php
2. Page.php
3. Index.php

Of al via een injectie in de content van je database.

En soms via een rottig javascript via een iframe op een totaal andere plek waarbij zelfs buiten de root mogelijk is als de server niet goed beveiligd is.

Ik clean en beveilig wekelijks websites en heb ondertussen 40+ methodes gezien. Maar de meest gebruikte zit wel tussen de tips van net.

Ps: maak eerst een backup voordat je gaat knippen!!

Even de plug-in Wordfence installeren en je website scannen, je kunt dan de geďnfecteerde bestanden inzien en daar waar mogelijk is verwijderen of aanpassen.

Dit gebeurt vaak als je een illegaal thema of een plugin op je website installeert. Mocht dit het geval zijn dan raad ik je dus ook aan de volgende keer een legale versie van deze producten te kopen.

De laatste keer dat ik de plug-in Wordfence gebruikte moest je de premium kopen voor het scannen van themes, en liet de plugin de overige mappen zoals de uploads mappen e.d. liggen waardoor er geen bericht kwam voor het verwijderen van belangrijke backdoors.

Ik raad aan om de site zoal even na te kijken met de ftp, bestandsnamen als:

1. alias.php, class.php nakijken als ze een onbekende uploaddatum hebben
2. 312.php (random generated)
3. fewf.php (random generated)

Anders kom je er nooit vanaf maar ben je week na week de bestanden weer aan het nakijken en verwijderen aangezien 1 script gewoon weer nieuwe kan neerzetten om te spammen.

Origineel gepost door Mathieu Schol

De laatste keer dat ik de plug-in Wordfence gebruikte moest je de premium kopen voor het scannen van themes, en liet de plugin de overige mappen zoals de uploads mappen e.d. liggen waardoor er geen bericht kwam voor het verwijderen van belangrijke backdoors.

Ik raad aan om de site zoal even na te kijken met de ftp, bestandsnamen als:

1. alias.php, class.php nakijken als ze een onbekende uploaddatum hebben
2. 312.php (random generated)
3. fewf.php (random generated)

Anders kom je er nooit vanaf maar ben je week na week de bestanden weer aan het nakijken en verwijderen aangezien 1 script gewoon weer nieuwe kan neerzetten om te spammen.

De gratis versie van Wordfence laat je gewoon plugins en thema's controleren. Je moet absoluut niet handmatig bestanden controleren want de kans dat je dan iets over het hoofd ziet is erg groot.

Comparing open source themes against WordPress.org originals
Kortom een illegaal gedownload thema checkt die niet.

En inderdaad "alleen" checken op bestanden is geen optie, het is belangrijk dit als extra te doen in combinatie met een thread scan.

Ik heb de Wordfence plugin gebruikt en hij zag inderdaad iets "malicious" dat ook base64 was. Dit heb ik het script laten verwijderen, alleen die vervelende pagina's van /blog die zijn er nog steeds en in de FTP kan ik die niet vinden. :O

Staan deze nieuwsberichten niet simpelweg bij de berichten in je WordPress admin? Dit zou dan via een injectie op de database erin gesmeten zijn.
Ander kun je eens kijken wat de index.php toont in je theme map.

Let er wel op dat je alle base64 bestanden eruit haalt anders heb ik alleen de gevolgen weggehaald maar blijft de oorzaak van de injectie nog zitten. Heb ik ook wel eens gehad dan was het weg en na enkele dagen *plop was het er weer ;)

Voorkomen de 2e keer is beter dan genezen.

Nee ze staan niet in mijn berichten overzicht in de wp-admin helaas.

Misschien in de htaccess.. Dat hij daar de url omleid. (welke je misschien cmod 777 hebt gegeven om zoekmachine vriendelijke urls te kunnen genereren..)

Toevallig n@lled themes gedownload? Dat zie ik vaker. Dat is de casinohack. Kijk eens in je thema bij functions.php of social.png wordt geinclude. Zoek ook in de hele Wordpress installatie naar social.png, t/m social5.png en verwijder die.

Kijk in je MySQL database en verwijder vreemde users. Vervolgens kijk je bij wp_options. Daar staat een tabel met base64 inhoud. Die knikker je eruit en dan is de vage inhoud weg.

Het is opgelost! Dankzij de hulp van een echte expert en de plugin wordfence