Heb je misschien laatstelijk een update van een plugin gedaan?
Ik zou ze even allemaal uitzetten. Kijken of de site het doet en dan weer 1 voor 1 aanzetten.
suc6
Op de eerste krijg ik deze foutmelding:
Parse error: syntax error, unexpected $end in /usr/home/dogge/public_html/wp-includes/default-widgets.php on line 490
Dit lijkt erop te wijzen dat er iets beschadigd is. Kun je je database nog benaderen? Dan zou ik als allereerste een backup maken van wat er in staat. Vervolgens kun je proberen of je eea lokaal aan de praat kan krijgen. Alternatief is om de wordpress directory ‘wp-includes’ opnieuw te uploaden.
Maar eerst: backup maken van de db!
Thread starter
noes
(@noes)
Webheer; Heb je misschien laatstelijk een update van een plugin gedaan?
Ik zou ze even allemaal uitzetten. Kijken of de site het doet en dan weer 1 voor 1 aanzetten.
Ik heb geen plugins geinstalleerd, al geruime tijd niet, dus dat kan het niet zijn. sites hebben allemaal prima gewerkt.
@patrick.Tingen; Bedankt, ik ga eerst een backup maken in myphpadmin, de wordpress pages en posts pak ik daar niet mee toch? Want ik kan dus niet meer in mijn wp-admin.
Mag ik vragen hoe je die foutmeldingen kan zien die jij krijgt? Misschien kom ik daar dan ook wat verder mee.
Ja, ook de pages en de posts worden opgeslagen in de WP-database, normaliter staan beide in de tabel wp_posts.
De fout krijg ik door op jouw link te klikken 🙂 Ik gebruik Firefox portable maar ook in IE en met Opera krijg ik die fout.
Ik heb even wat gezocht en het lijkt er inderdaad wel op dat je een probleem hebt (maar goed, dat wist je zelf ook al). Kijk eens hier en ook eens naar deze en dan in het bijzonder de bijdrage van Otto42 zo halverwege de pagina.
Volgens hem is het een besmetting met het Gumblar virus op een andere site die ook bij jouw hosting bedrijf draait. Die andere site wordt gehackt, vervolgens heeft de hacker toegang tot het systeem (met waarschijnlijk teveel rechten) en kan via die achterdeur bij de bestanden van jouw site komen. Je eigen site kan goed beveiligd zijn, dit is een aanval van binnenuit. De “schuld” ligt waarschijnlijk bij je hoster. Mogelijk scenario volgens Otto42:
It works like this:
1. Hacker finds a site that has a vulnerability and exploits it.
2. Now hacker has the ability to put code on somebody’s website and run it.
3. Hacker puts a small, simple piece of code on the site. This code searches the whole server, even other people’s accounts, and looks for PHP files.
4. When it finds one that it can access, it inserts its own malicious code into that file.
5. Voila, you’re hacked, and WordPress never got breached.
Gelukkig is er wel iets aan te doen. Lees de post verder.
Daarnaast denk ik dat je je provider moet waarschuwen dat er rare dingen aan de hand zijn op hun systeem. Welke provider gebruik je trouwens (en ga nou niet zeggen dat je zelf de websites host 🙂 ).
Nog meer leesvoer op Tweakers.net waar eea ook nog eens wordt uitgelegd.
Succes!
Thread starter
noes
(@noes)
Patrick, super je uitgebreidde antwoord.
ik ben dus screwed, echt naadje dit. maar goed, nu maar proberen de boel op te lossen.
ik denk echter dat het via een virus op mijn pc naar mijn ftp programma is gegaan. Ik host bij hosting2go.nl. goedkoop etc.
er zijn nu diverse websites van mijn hand beschadigd, inmiddels 8.
Allemaal verschillende servers, sommige wel van hetzelfde hostingbedrijf, andere weer niet. Dus het heeft niet met de hosting te maken.
In veel index.php of index.html bestanden staan scripts, die ervoor zorgen dat de website dus beschadigd is.
Bij twee html sites heb ik dit al op kunnen lossen door simpelweg de scripts te verwijderen. wachtwoord te veranderen en alles opnieuw te uploaden.
Bij de wordpress sites ligt dat wat anders. Grotere structuur etc. Ik ben nu dus alles aan het doorspitten in de hoop dat de scripts verwijderen werken.
Bedankt voor het meedenken Patrick 😀
Ik mag hopen dat het niet aan hosting2go ligt want daar heb ik ook 2 sites draaien 😉
Als het nou weer terugkomt is het wellicht handig om Рzoals in ̩̩n van de sites werd genoemd Рde bestandsrechten terug te zetten naar 644. Als het virus je FTP wachtwoord heeft, heeft dat echter niet zoveel zin.
Nou ja, hopelijk blijft het nu goed draaien.
Thread starter
noes
(@noes)
Hoi Patrick.
Ik heb inmiddels een groot deel van mijn sites opgelost.
Voor de mensen die ook tegen dit probleem aanlopen hier de oplossing;
1) Haal je hele wp installatie naar je lokale schijf.
2) download het gratis programma globalfind
3) kijk in een index.php bestand of in een .js bestand ( let op in een php bestand is het iets anders aangegeven nan in een js bestand dus je moet de volgende stappen twee maal uitvoeren. Kopieer het malwarescript ( meestal onderaan).
4)plak het script in het query venster van globalfind en kies de locatie van je wp installatie op je lokale schijf.
5) kies dan replace en vervang het script met blanco ( dus gewoon enter klikken )
6 ) het script is verwijderd, loop voor de zekerheid nog wat risicobestanden na
7) verwijder de installatie op je server
8) vervang al je wachtwoorden, ook die van je database
9) pas het config.php bestand met je nieuwe db-ww aan op je lokale schijf.
10) upload alle bestanden weer naar je server
11) zie daar een schone werkende website
12) optioneel; installeer de plugins; secure wordpress & login lockdown en wp scanner op je blog, als je die nog niet hebt.
succes !
