Mer virus

Jag har haft problem med virus på sajten igen. Tyvärr har jag haft mycket annat att göra, så det har inte – färrän nu – funnits möjlighet att fixa det här. Jag fick börja med att rensa hela sajten, eftersom jag vill undvika att bli svartlistad på Google. Man vill ju inte ha en sajt som ser ut så här. Jag använder WordPress och har nu uppgraderat till en helt “ren” version utan plugins.

Jag trodde först att det berodde på ytterligare ett säkerhetshål i min WP-installation och att jag därför åter drabbats av “malicious script injections”, men det troliga är att det berodde det på att min “sommarstädning” inte var tillräcklig; det fanns php- och html-sidor där scripts injicerats på ett sofistikerat sätt och därmed gjort min sajt farlig för besökare.

Länkar:
Did your WordPress site get hacked?
Malicious script injection on my site

Jag har nu rensat ut allt på sajten och håller sakta på att ladda upp allt igen…

Drabbad av virus

Häromveckan laddade jag hem ett av många program för att testa. Ja, jag är en early adopter när det gäller att testa program med allehanda funktioner. Ofta använder jag dem bara ett fåtal gånger och sedan faller de i glömska. Det jag märkte den här gången var att datorn plötsligt fick väldigt mycket att göra – processorn gick på för fullt och hårddiskarna jobbade hårt, det lät som de accessades hela tiden.

När jag inte längre kunde komma åt exempelvis sajterna Google och DN insåg jag att något var fel. Jag hade drabbats av viruset Virtumonde (benämns ibland Vundo). Jag ägnade många timmar åt att bli frisk igen och det lyckades tack vare fin hjälp av experter på ett malware removal forum på forums.spybot.info.

Dessvärre märkte jag att även min webbplats påverkats. Viruset använde sig troligen av min ftp-klient FileZilla för att göra s k malicious code injections, dvs skadlig kod infogades i mina webbsidor. Index.php-sidan i roten på min webbsajt ändrades till detta:

Malicious php code

Efter lite detektivarbete (eftersom jag inte kan något om script) så har jag lyckats ta reda på att en sajt med tvivelaktigt innehåll kontaktas med hjälp av scriptet, se bild nedan.

Malicious php code decoded

Det kan vara så att besökare på min sajt smittades. Jag ber om ursäkt för detta!

Några lärdomar jag gjort av det här är att

  1. ha ett sjysst anti-virusprogram installerat (Kaspersky eller NOD32)
  2. ha Spybots TeaTimer (bevakar och förhindrar ändringar i registret)
  3. ta bort sparade lösenord i ftp-klienter
  4. ha en hosts-fil som spärrar farliga ip-adresser och sajter, läs mer här. Där fick jag tips om ett användbart programpaket som möjliggör enkel editering av hosts-filen, automatiska uppdateringar och dessutom en enkel webbserver som blockerar banners o dyl.