We waren gehackt

Het is ook slim om de nieuweste versie van Wordpress te gebruiken. Ik zie dat je nog gebruikt maakt van Wordpress 2.2, inmiddels is 2.8.4 al uit.
Als een bepaald script veel gebruikt wordt (en Wordpress is razend populair) zullen daar ook veel hack aanvallen op zijn, zorg dan wel dat je up to date blijft.

Ik kan maar een tip geven: Neem een Nederlandse host.
Een kleine site van een vriendengroep die wij ook in de US hebben staan is ook al een aantal malen gehackt door anti westerse groepen.
Die gasten kijken niet naar de site, maar naar IP-adressen. Is het Amerikaans dan is de kans een stuk groter dat ze je te grazen nemen.

Ik snap wel dat een site gehackt kan worden.
Indien je een MySQLback up hebt, en desnoods WP delete en opnieuw installeert, dan zou je dus weer schoon moeten zijn, tenzij je hoster/server lek is.
Dat http://www.carinejoost.com/ dan ook gehackt blijft, snap ik niet zo.
Tenzij de site eigenaar er zelf niks aan doet.
Normaalheb je een back up van MySQL + alleplaatjes, en is het binnen een uur gefixt.
Blij met WP 2.8 was ik trouwens niet, veel bugs !

ik heb zelfs de beveiliging opgeschroefd, door alleen een login toe te laten via BE en NL. Al die rotzooi-landen kunnen er dan niet meer bij (normaal gezien). Afwachten is de boodschap. Maar de (niet zo) goede hulp van Servage heeft ons al doen besluiten dat we voor een andere hosting gaan. We hebben al de nodige contacten gelegd.

Controleer of je index.php en index.html bestanden wel in orde zijn.
Controleer ook of er o.a. in (vooral schrijfbare CHMOD777) mappen geen bestanden staan die er niet horen. o.a. .htaccess bestanden die andere code bevatten dan eventuele .htaccess bestanden die jij geplaatst hebt.
Het kan zijn dat een "eggdrop" gedaan is die eigenlijk je site niet echt beschadigt, maar alleen de server andere pagina's laat zien.

Stonden allemaal op 644, dus zeker geen CHMOD777

Het is echter erger voor onze ictindeles.net, want die was net geupdate met nieuwe informatie voor het volgende schooljaar, maar daar is geen backup van. Het zal terug van in het begin zijn.

We hebben in elk geval klacht neergelegd bij de politie. Hacking, obstructie van beroepsactiviteiten enz. Een hele boterham aanklachten. Ze moeten die eikel toch vinden, zijn e-mail staat er godverd... op.
Het is duidelijk weer grote vakantie geweest. Dan zijn al die snotapen virussen aan het schrijven en websites aan het hacken. Het is weer tijd dat het schooljaar begint, want dan zie je na enkele weken de hoeveelheid aanvallen gevoelig dalen. Dit houdt echt verband met elkaar!

Er heeft tijdens de hack waarschijnlijk Arabische tekst op gestaan.
AdSense stemt de inhoud af op de tekst (regionaal content)
Zodra Google de pagina herindexeert, zouden er weer gewone advertenties moeten komen, even geduld dus, denk ik.

Het waren dus enkel de HTML bestanden die vervangen waren. De klootzak had in elke map dat index.HTML bestand gestoken. Gelukkig had ik nog een backup van alle mappen. Daarnet ontdekte ik dus dat al mijn foto-albums ook naar de haaien waren door deze actie. Maar na 2 uren werken zijn ze terug zoals ze stonden.

Maar de zaak is nog niet zoals het was. Nieuwe artikels verdwijnen naar 1999 in plaats van 2009, en als ik het voorleg, wimpelen ze me bij servage weer af, dat het een Wordpress-probleem is. Enfin, we zijn er bijna weg, dus van die bende zijn we ook af.
Toevallig hebben ze vandaag een issue gehad op hun server... jaja

De kogel is door de kerk. We hebben gekozen voor http://www.carecompany.be/ , een volledig 100% groene hosting. Zeer vriendelijke mensen en zeer bereidwillig. Is qua service als stukken beter dan Servage. Dat spelletje heeft lang genoeg geduurd!

Hopelijk gaat het daar beter!! Succes!

Als je nu uit voorzorg zelf in elke map (waarin je dat zelf niet nodig hebt) een lege index.htm + index.html + index.php zet ?
Ik doe dat zelf standaard, bv. in de map /images/ komt een lege index.html te staan.

Of het helpt tegen hacken ? Dat weet ik niet !
In ieder geval kunnen ze dan niet meer in je mappen gluren !

@koosmooij Zelf een index.* neerzetten helpt niet. Ze overschrijven de jouwe. Hier is weinig tegen te doen. Het kan je ook bij elke provider gebeuren. Maar het is wel snel op te lossen mits je een backup van de bestanden thuis hebt.

Het feit dat je site gehacked is heeft helemaal niks te maken met slechte hosting of slechte iraniërs. Het is inderdaad niet prettig, maar het feit dat iemand zo simpel in jouw site kan binnenkomen is gewoon een teken dat die niet genoeg beveiligd was. Wat bij jouw site is gebeurd, is dat de (black-hat)hackers een exploit hebben gevonden in de sql database, xss hebben gebruikt of mss zelfs bruteforcing hebben gebruikt. Daarna hebben ze je site aangepast met hun namen, emailadressen voor "losgeld" ofzo, arabische teksten en waarschijnlijk een irritant muziekje op de achtergrond. Wat je dan moet doen is niet een klacht indienen bij de politie, dat maakt toch niks uit want die hackers zijn niet zo stom om hun gewone ip te gebruiken, wat hun onvindbaar maakt, maar een white hat hacker company of team te contacteren, die jouw site (mits tegen betaling) "terughacked" en die dan test voor exploits, waardoor jij (of zij) deze kan fixen. Veranderen van host heeft ook geen nut want als je de gebackupte bestanden gebruikt, wil dit zeggen dat de oude exploits er nog inzitten. Gewoon je site beter beveiligen volgende keer, en oppassen met je sql databses. Zorg ervoor dat je site gepatched is tegen sql injections, xss etc. of laat hem testen door een vooraf vermelde white hat hacker. Als iemand hulp nodig heeft bij het beveiligen of terugbemachtigen van zijn site, twijfel niet om mij te contacteren, ik help u graag verder.