Hoi,
Als eerste is het zaak om de gehele website offline te halen (deze is nog steeds online zie ik), je kan dus een aparte
index.html aanmaken met een mededeling dat de website tijdelijk offline is voor onderhoud of iets in die trant.
Je kan ook de gebruikers middels een
.htaccess file redirecten naar een andere pagina.
Ten tweede is het belangrijk om de gebruikte FTP gegevens te veranderen en SSH-keys te verwijderen, dus de inlognaam en gebruikte wachtwoorden.
Kennis van PHP, HTML en scripts is eigenlijk wel benodigd in deze.
1. Allereerst is het belangrijk om te onderzoeken op verdachte activiteiten je kan hiervoor de logs opvragen bij de betreffende provider.
- Dit soort logbestanden kan je in een "shell" omgeving onderzoek als je daar de mogelijk tot hebt, je kan dan middels een commando de URI's en POST opdrachten die uitgevoerd zijn filteren.
- Aangezien ik niet weet en betwijfel of je toegang hebt tot de "shell" van de server van Telenet NV zal ik het hierbij even laten anders wordt het heel erg technisch.
zcat ~/root/*|grep POST|awk {'print $7'}|sort|uniq -c|sort -nr
2. Hierna download je alle bestanden vanaf de betreffende web-server naar bijvoorbeeld je eigen computer, alle eerder genoemde bestanden dienen dan ontdaan te worden van de geïnjecteerde scripts.
3. Wanneer je een database gebruikt, dan kan je deze met de phpMyAdmin tool in bijvoorbeeld DirectAdmin exporteren en naar je eigen computer downloaden.
4. Verwijder alle bestanden van jouw website op de FTP server. Zet in je FTP programma ook de optie 'toon verborgen bestanden' aan, veel hackers zorgen ervoor dat de door hun geplaatste bestanden moeilijk te vinden zijn.
Schadelijke Bestanden Opsporen- Daarna controleer je alle bestanden op legitimiteit en vreemde verwijzingen zoals scripts en "i-frames"
- verander alle gebruikte SQL-DB wachtwoorden, in bijvoorbeeld config.php als je gebruik maakt van een CMS systeem.