Zelfs als je 100% zeker weet (wat ik betwijfel) dat er niets aan de "inhoud" van jouw website veranderd is (wellicht maak je gebruik van reclamebanners of statistics servers), kunnen onbevoegden nog steeds toegang tot de server hebben gehad (bijv. via een geraden wachtwoord, buggy admin panel, SQL injectie, etc) en is het best mogelijk dat bezoekers gevaar lopen (bijv. XSS attacs etc).

Wat wil je precies weten, en geef eens wat meer details?

Het betreft een website van een postzegelvereniging, die gemaakt is met een standaard Wordpress profiel. En leden moeten eerst inloggen om toegang te krijgen tot een bepaald gedeelte van de site. De vraag is eigenlijk of een kwaadwillende die de site gehacked heeft op een of andere manier in de P.C. van de leden kan komen als zij de site bezoeken.

Het zou handig zijn om te zien of de site een keer gehacked geweest is. Als de inhoud van de site niet gewijzigd is kan er ook geen kwaadaardige code achter gelaten zijn. Maar ja daar kijk je misschien snel overheen.

Wat bedoel je met "P.C.", PC (van Personal Computer) of iets anders (Postzegel Collectie wellicht)?

Bij dynamisch gegenereerde sites is het inderdaad erg lastig om te zien of er kwaadaardige code is toegevoegd. Dat zou kunnen bestaan uit een simpel stukje javascript dat door een kwaadwillend (of gehackt) lid is toegevoegd, en door browsers wordt uitgevoerd die zo'n pagina bekijken (XSS injectie). Kun je zeggen om welke site het gaat, www.postzegelblog.nl wellicht?

P.C betekent in dit verband Personal Computer. Het betreft de site www.usca.nl

Ik probeer vanavond even te kijken of ik wat vreemds zie, heb nu geen tijd daarvoor. Andere lezers op dit forum misschien wel?

Beste Anoniem,

Wanneer een hacker toegang heeft tot je server, kan deze een pc-infecterend component toevoegen, en dit later weer weghalen.
Jij ziet dan niets, enkel een inlogmoment (of helemaal niets)

Ik ga die website niet voor je Auditen, omdat ik niet weet of het jouw website is.

Als dit een belangrijke website is, zoek dan een bedrijf dat deze scan voor je kan uitvoeren.

@TS

Apache/1.3.41 (Unix) PHP/5.2.17 mod_ssl/2.8.31 OpenSSL/0.9.7a mod_perl/1.29 FrontPage/5.0.2.2510

Je site draait verouderde en zelfs niet meer ondersteunde (end-of-life) software. Upgrade alle software, van OS tot plug-ins naar de laatste versies. Zorg dat je te allen tijde bij bent. Wijzig alle wachtwoorden, ook van computers die je gebruikt om de site te beheren. Scan de werkstations en servers met goede anti-malware software.

Als je provider de beheerder/eigenaar van de server is, dan zal die de updates moeten uitvoeren. Als je provider dat niet wil zoek je een provider die wel voor veilige servers zorgt en (belangrijk!) blijft zorgen.

Als je wilt zien of je ooit gehackt bent, archiveer dan je hele site en scan de recentste bestanden vanaf je eigen PC online.
http://www.virustotal.com/
http://virusscan.jotti.org/

Uiteraard moet je geen bestanden met privé gegevens laten scannen. PHP en .txt bestanden kunnen kwaadaardig zijn.

Als je malware aantreft, dan moet je alles controleren. Veelal werkt het het beste als je alles weer vanaf nieuw opbouwt. Dus in plaats van bestanden te verwijderen, neem je alleen bestanden mee waarvan je zeker bent dat die bij je site horen.

In aanvulling op wat Anoniem van 14:57 hierboven meldt:

(1) www.usca.nl met IP-adres 81.26.217.65 is een nette website: ziet er fraai uit maar gedraagt zich ook zo! Ik heb tidens het bladeren geen verbindingen met welke andere site dan ook gezien (zelfs geen Google Analytics, wow!). Op 1 van de pagina's wordt wel maps.google.com gestart voor een adres in Tiel (dat ik niet verder zal noemen), maar dat is natuurlijk geen probleem.

(2) Eerder is www.usca.nl kennelijk op een ander IP-adres gehost geweest, nl. op 83.98.193.65. In 2006 zijn toen alle virtual hosts op dat adres, daarmee inclusief www.usca.nl, gedefaced. Zie halverwege http://www.zone-h.org/archive/ip=83.98.193.65/page=2. Maar dat zegt niets over het huidige adres.

(3) Volgens http://www.robtex.com/ip/81.26.217.65.html zijn zo'n 146 hostnames gekoppeld aan IP-adres 81.26.217.65. Het feit dat robtex daar "www.usca.nl" niet bij noemt is indicatief voor dit soort "reverse DNS information" websites: die zijn vaak zeer incompleet. De kans is dus groot dat er nog veel meer hostnames naar 81.26.217.65 verwijzen.

(4) http://www.projecthoneypot.org/ip_81.26.217.65 meldt dat er eerder verdacht gedrag gesignaleerd is vanaf 81.26.217.65, echter niet in de afgelopen 3 maanden. Belangrijk is daarbij te vermelden dat volgens robtex 81.26.217.65 ook het IP-adres is van een mailserver voor een redelijk aantal domeinen. De kans dat er af en toe wat spam (echte, "gewone" reclame of false positives) vanaf zo'n IP-adres verzonden wordt is dan niet vreemd. Volgens http://rbls.org/81.26.217.65 staat dat IP-adres dan ook op een tweetal blacklists. Hoef je je geen zorgen om te maken.

(5) Tot de virtuele hosts behoort (ik heb er enkele bekeken) ook een "verlaten" host, zie http://www.comcaro.nl/start.html en bekijk daarna http://www.comcaro.nl/. De kans is groot dat niemand daar meer naar omkijkt, waarmee het risico op compromitteren van die site, en mogelijk de hele server, met de tijd toeneemt.

(6) Hoewel http://www.devoscomputers.nl/ gebruik maakt van osCommerce, zie ik daar helemaal niets verdachts op; prima in orde dus (de laatste tijd zijn er nogal wat slecht onderhouden osCommerce sites gehacked wegens achterstallig ondehoud).

Met andere woorden: ik heb niets verdachts kunnen vinden, behalve dat de server waarschijnlijk verouderde software draait zoals anoniem eerder aangaf. Als je http://81.26.217.65/ (of http://www.tel2com.com/) opent, ziet e.e.a. er niet erg bijgehouden uit...

Heren,

Bedankt. Ik ga zeker contact opnemen met de hoster.