Onlangs ontdekte ik dat een van mijn domeinen was gehackt. Er was een php bestand toegevoegd. Volgens mijn reseller provider mijn probleem, want ik betaal weinig voor mijn reseller account en hij kon zien dat het wachtwoord en gebruikersnaam waren gebruikt bij ftp verbinding. Ik had zelf al zeker een jaar geen ftp verbinding meer gemaakt en op het domein stond alleen een html met de melding dat het domein gereserveerd was voor een van mijn klanten.

Nu is een andere site van mij volgens mij ook besmet. In mijn statistieken zie ik een verdubbeling van het aantal bezoeken. en een aantal erg vreemde search strings die in google een verwijzing naar een niet bestaande directories op mijn site verwijzen. Als ik die aanklik krijg ik een malware melding, maar niet de url van mijn site in de adresregel.

Wie heeft een idee wat er aan de hand is?
Hierbij een link naar de statistieken (maart) van de site waar het over gaat http://trompetmuseum.nl/webstat/usage_201105.html

Kijk anders in de logfiles van je hosting wanneer er verbinding gemaakt is met je webspace en wellicht staat daar ook een ip-adres en data tussen. Als jij op die momenten (zoals je nu eigenlijk zelf ook al zegt) niet online bent geweest, is je domein dus inderdaad "gehackt".

Dit kan komen omdat je zelf een onveilige ftp-verbinding hebt gemaakt, maar ook zeker bij je hoster vandaan komen. Begin eens met je wachtwoorden voor je domein en ftp te wijzigen en gebruik te maken van een veilige ftp-verbinding. Als dit dan nog eens voorkomt weet je zeker dat er een lek bij je hoster zit en zul je snel naar een ander toe moeten.

Het is onzin dat dit hoort bij een goedkope hoster, want je betaalt niet voor een onveilig hosting-account. Ben wel benieuwd naar de naam van je hoster, aangezien ze je nogal een bot en kort-door-de-bocht antwoord geven.

Ik heb al besloten dat ik daar weg ga. Vorig jaar had ik ook problemen met de hoster en ook toen lag de verantwoordelijkheid bij mijzelf. Na een paar dagen heen en weer mailen en bruikbare adviezen via macfreak bleek de server besmet te zijn. Kon ik niets aan doen, maar kostte me wel 3 volle dagen zoeken.
Dat ik nog niet weg ben komt omdat ik opzie tegen de verhuis van mijn 20 sites. De hoster heet Linulex.
En hoe maak ik een veilige ftp verbinding? Ik regel dat nu via Dreamweaver. Dat is blijkbaar niet strandaard veilig?

Heb je ook al gekeken naar de programma's op je site? Joomla (wat jij voorzover ik zie gebruikt) heeft een roemruchte geschiedenis van hacks en misschien is dat wel de manier waarop men binnen is gekomen. Of anders via een plugin of een ander script...

Je gaf aan dat er toen alleen een html file stond en dat ie toen was gehackt. Dat is vreemd. Maar zoals terecht opgemerkt, Joomla zul je constant moeten updaten naar de laatste versies om hacken te voorkomen.

De site waar die html stond was een andere. Die heb ik inmiddels gesloten. Vond ik inderdaad erg vreemd dat deze gehackt was, omdat ik zeker een jaar geen ftp verbinding had gemaakt. Dat van Joomla was me bekend en daar moet ik inderdaad actie op gaan ondernemen.

Ik ben er nog niet zeker van dat trompetmuseum.nl gehackt is. Als ik de verdachte links aanklik dan kom ik op een andere url terecht.

(Bewerkt door applesien om 22:44, 18-05-2011)

Heeft iemand een goede suggestie voor webhosting? Als het kan wil ik een reseller account en een hoster die zijn server joomla-vriendelijk heeft gemaakt.

Ik kom er niet uit. Ben op zoek naar nieuwe provider, maar ondertussen gebeuren er vreemde dingen.
Extreem veel bezoeken aan de site via allerlei spiders en crawls en bots. Volgens mijn statistieken wordt er contact gemaakt met allerlei html's die niet bestaan. Ook andere sites die ik host worden op deze manier aangevallen.

Wie kan me verder helpen?

Misschien staan er verborgen bestanden (met een . ervoor) waar contact mee wordt gemaakt?

Een van de websites waar men vandaan komt op jouw website
http://www.telfer.at/blog/961/3003
wordt zo te zien gebruikt voor het doorsturen via de reacties in de blog.
Ziet er inderdaad niet helemaal fris uit.

@Pieterr
Ik begrijp je niet helemaal: reacties in de blog? Ik gellof niet dat ik een reactiepagina heb.

Nee, jij niet, maar wel die pagina waarvan ik de link gaf.

Kende je deze pagina al?
You think you're site got hacked? Read this first, please!!!

Dank, ik ga weer even studeren.