Hjälp med säkerhetsbrist på hemsida
Min far fick för ett litet tag sedan mail angående sin hemsida från webbhotellet (Surftown) där det stod att de hittat infekterade filer som de flyttat till karantän. Jag är ingen höjdare på webbsäkerhet och konsulterar därför er, kanske kan ni komma med några orsaker eller åtgärder.
Här är de mest relevanta delarna av mailet från webbhotellet:
"Anledningen till att du får detta mail är att vi har anledning att tro att det finns skadliga kod inlagt i filer på ditt webbhotell. Filerna eller den skadliga kod, har med stor sannolikehet placerats på ditt webbhotell genom någon säkerhetsbrist på din hemsida... Eftersom filerna utgör en potentiell risk för din hemsida och andras har filerna flyttats till mappen ".quarantine" som ligger på ditt webbhotell. Härifrån kan filerna inte användas av din hemsida och ingen av dina besökare kan komma åt filerna. Genom att besöka mappen på ditt webbhotell får tillgång till vilka filer det rör sig om..."
När jag går till karantänen hittar jag några skumma PHP-filer med namn som "3988be6da9a3155fa91e92c4e8449a9f.php", och dessutom hittar jag index.php-filen som även den har flyttats till karantänen. De flesta av PHP-filerna innehåller bara en röra av bokstäver, här är en av dem:
Ett ännu längre liknande block av bokstäver har klistrats in i början av index.php, antar att planen var att få alla som går in på hemsidan att köra den.
Sen har vi en av PHP-filerna i karantänen som innehåller vanlig läsbar PHP-kod. Jag vet dock inte vad den gör. Den ser ut så här:
Ber om ursäkt för att texten i bilderna inte är jättetydlig, men det är läsbart för mig i alla fall. Kan ladda upp nya ifall ni har problem att läsa det.