Ik heb vorig jaar èn van het jaar, al een x aantal sites moeten fixen, die gehackt waren. De meeste van de links die ik uiteindelijk vond, hadden een .cn extensie, dat is van China. Vermoedelijk dus Chinese hackers. Een website dat gehackt is, en dat al is ontdekt door Google, zal het onderstaande vertonen:
Tegenwoordig kan je dit soort sites vaker tegenkomen, er zijn een aantal reden die Google zelf als een sein hanteert voor websites die zijn gehackt. Een paar van ze zie je hieronder:
- Als je website iFrames of JS code heeft, die jij niet hebt gezet en die dus linkt aan websites van derden, voornamelijk websites die malware bevatten
- Je website host een phishing pagina
- Je .htaccess bestand is door iemand anders aangepast en verwijst je website naar een andere voor zoekmachines
- Jouw FTP gegevens is opgevist
- Componenten of plugins die je gebruikt voor je website, zijn niet veilig
- Je pc waarmee jij je website beheert, bevat malware, spyware, trojans, virusjes
- De rechten van folders op je website zijn onveilig
- Je website update heeft je thema kapot gemaakt, en zo dus gevoelig voor XSS
Het is eigenlijk best moeilijk om te weten hoe een website precies besmet is geraakt.
Om dit te troubleshooten kan je het beste inloggen via FTP, en kijken naar de datum van de bestanden, wanneer die zijn aangepast. Meestal zijn het de index.html/php/asp bestanden die worden aangepast, maar niet altijd. Zolang je een verdachte datum ziet, kan je die bestanden open maken en kijken of je onbetrouwbare code vindt.
Tegenwoordig stoppen ze gewoon een extra .php bestand in je image map, dus ook eventueel kijken naar verdachte bestandnamen. Een bekende is gifimg.php.
Omdat Google zo aardig is, sturen ze ook nog een mail naar de volgende adressen, als een website als gehackt wordt aangegeven. Allemaal dus @ en de domein naam.
Ervoor zorgden dus dat je één van de onderstaande adressen wel hebt:
- abuse@
- admin@
- administrator@
- contact@
- info@
- postmaster@
- support@
- webmaster@
Uiteraard krijg je ook een bericht via je GWT account, als dit je overkomt en als je website dus is geregistreerd daarmee.
Ook kan je deze pagina raadplegen voor meer info.
Als jij je website al hebt hersteld, kan je via GWT een aanvraag indienen, zodat ze opnieuw naar je website gaan kijken.
Alhoewel, als je gebruik maakt van een open source CMS, zorg er voor dat het altijd up to date is, het verkleint de kans dat je website wordt gehackt. En indien mogelijk, de versie code van je CMS weghalen uit de broncode.
Bij WordPress ziet het er zo uit:
<meta name="generator" content="WordPress 2.8.4" />
Veel succes 
Bedankt voor de tip! Ik krijg nogal veel spam op m’n info@, ik ga maar een abuse@ aanmaken denk ik. Hoeveel van je sites zijn gehackt trouwens, en hoe zie je waar de hackers vandaan komen?
Is eigenlijk moeilijk te zien waar de hackers vandaan komen. Alleen aan de links die ze achterlaten, kan je soms ervan uit gaan, waar ze mogelijk vandaan komen.
Ik heb zelf geen info@ of dergelijke e-mail account. Dat soort e-mailadressen krijgen veel spam.
Heb me gewoon aangemeld op GWT en daarop ben ik dagelijks ingelogd, dus als er wat is, lees ik het wel van daaruit.
De sites die ik tot nu toe heb zitten fixen, zijn van klanten. Zijn er wel veel geweest tot nu toe.
Dit probleem komt me bekend voor… Heb zelf ook met gehackte sites van klanten te maken gehad. Dit waren Joomla! sites – dus ook enigszins kwetsbaar. Inderdaad haal ik ook altijd de ‘generator’ meta-tag weg (daarmee geef je gratis informatie weg aan hackers!), maar dit lijkt niet altijd afdoende. Upgraden, checken of er geen ‘onveilige’ extensies en plugins zijn geïnstalleerd, configuratie-files afschermen met htaccess, mappen controleren op rechten etc. En zelf zorgen voor een goed anti-virus programma op je computer, omdat het erop lijkt dat bepaalde virussen FTP-gegevens via je FTP-programma kunnen achterhalen? (weet niet zeker hoe dit werkt, maar voor alle zekerheid…) En kan het soms ook aan de server liggen waarop wordt gehost? Gelukkig heb ik er momenteel geen meldingen meer van!