Oei, dat is niet het soort mailtje dat je in je mailbox wilt vinden als je net een weekend offline geweest bent: “Het zal wel loos alarm zijn, maar mijn virusscanner begon te loeien toen ik naar een oud bericht van jou ging” schreef Willem Karssenberg.
Ik moet bekennen dat ik ook eerst aan loos alarm dacht, zoeken op “HTML: Script-inf” leverde wel hits op, maar niet direct iets waar ik iets mee kon. Toch maar even kijken op de server. En daar zag ik eigenlijk meteen al dat er iets aan de hand was. De datum/tijd van wijzigen van de PHP-bestanden op de server was namelijk vele te recent. Die server bij Dreamhost wordt namelijk op het moment alleen gebruikt als archief voor de grote bestanden etc. en PHP-bestanden wijzigen heb ik daar al een hele tijd niet meer gedaan.
Het bleek dat een oude hack, eerder al een keer opgetreden als gevolg van het niet direct updaten van een WordPress installatie op de server daar, weer opgetreden was. Alle PHP bestanden waren in de header voorzien van een stuk code die met “<?php /**/ eval(base64_decode(” begon.
Ik heb niet kunnen achterhalen waar of hoe de hacker binnen gekomen is. Het kan zijn dat dit code is die er al een tijdje zat, blijkbaar is het vooral hardnekkig als je het niet volledig (en dus in echt in alle geïnfecteerde PHP-bestanden) weet te verwijderen.
Handmatig is dat echter een hele klus die moeilijk gegarandeerd volledig te doen is.
Daarom was ik ook heel blij dat ik deze website tegen kwam met een beschrijving van een commandoregel die je uit kunt voeren vanaf een SSH-prompt op de server en waarmee je dan gegarandeerd in één keer alle bestanden schoon weet te maken:
for i in `find ./* -name “*.php”`;do if [ -f $i ];then perl -p -i -e ‘s/.*==”\)\);\?>[^.]*//g’ $i ; perl -p -i -e ‘s/^\n//’ $i ; fi done;
Ik heb het commando uitgevoerd en de PHP-bestanden werden inderdaad netjes opgeschoond. De WordPress versies die op die server zijn inmiddels ook verwijderd of worden voortaan automatisch bijgewerkt door Dreamhost. Nu dus maar hopen dat daarmee ook alle ingangen afgesloten zijn.
En Willem, reuze bedankt voor het seintje!
Ook interessant:
@Pierre
Ik kreeg ook een melding van mijn virusscanner (Avast!) met een verwijzing naar jouw weblog.
Hoi Antoine,
Nu nog? En kwam je via de oude url (dus via http://www.gorissen.info/Pierre) of rechtstreeks via http://ictoblog.nl/ ?
Wat het dezelfde melding als in de screenshot hierboven?
@Pierre
De foutmelding kwam inderdaad via de oude url. Bij de nieuwe is er geen probleem. De melding zag er iets anders uit dan die van Willem, maar misschien gebruikt hij een iets oudere versie van Avast! Nu dus geen melding meer, maar vanmorgen nog wel.
OK. Dat zou inderdaad kunnen aangezien ik pas vandaag aan het eind van de middag terug kwam en de mail van Willem zag. Als de code de melding triggerde (niet bij AVG Anti-Virus overigens) dan zou de melding nu inderdaad weg moeten zijn (en ik hoop ook weg blijven).
Hee Pierre,
Graag gedaan natuurlijk!
Nu geen melding meer dus het heeft geholpen.
@Antoine
Avast wordt uiteraard automatisch bijgewerkt bij mij dus dat kan niet de reden zijn dat jij een iets andere melding kreeg…