Kun je in ieder geval jezelf verdedigen met "ik doe het niet, het is een hacker", wanneer je ega je betrapt met porno kijken.

Je moet als beheerder/hoster van PHP sites altijd meerdere AV scanners gebruiken. Spammers en malware verspreiders hacken op grote schaal web sites. Duizenden per dag is geen zeldzaamheid. Daar zitten ook Nederlandse sites bij.

Een tip voor beheerders om snel te ontdekken of er iets aan de hand is: zoek naar recente bestanden. In veel gevallen zijn recente bestanden malware of aanpassingen van bestaande bestanden door malware (infectie). Alle PHP bestanden kunnen worden geinfecteerd. Malware schrijvers maken soms weinig onderscheid. Soms zijn alleen index bestanden aangepast.

Aanvallers maken vaak gebruik van een van de volgende methoden om zich toegang te verschaffen tot een web server:
- beveiligingslek in PHP of PHP apps
- gestolen ftp gebruiker/wachtwoord vanaf desktops

De oorzaak is in de meeste gevallen gebrek aan onderhoud (niet installeren security patches, draaien van EOL software) op de server en klikgraag gedrag op de desktop.

Plaats geen backups in publiek toegankelijk directories. Daardoor kunnen hackers makkelijk bij oude versies.

Na infectie is het volledig opnieuw installeren vaak de beste optie. Aanvallers kunnen accounts aanmaken of wachtwoorden aanpassen. Veel hosters installeren opnieuw, dat is best practice.

Volgens mij bedoel je vooral opensource frameworks/cms/forum systemen. Zoals Joomla, Phpbb, Wordpress maar ook tracking en/of database beheer systemen zoals Piwik en Phpmyadmin, omdat hiervan exploits en vulnerabilities bekend worden gemaakt via (publieke) kanalen. Zelf geschreven PHP code is een stuk veiliger omdat de source hiervan niet bekend is (mits je zelf voldoende kennis in huis hebt mbt het beveiligen tegen xss injection enz) en je server wel uptodate blijft qua security updates.

Eén van mijn WP-based websites is getroffen door deze malware en ik kan aangeven dat de infectie niet via FTP loopt; ik maak FTP toegang aan als ik die nodig heb en verwijder deze wanneer ik klaar ben. Het systeem zelf en de gebruikte theme en plugins worden up-to-date gehouden incl security patches.
De 'boefjes' hebben blijkbaar toch via WP zelf toegang gekregen, dus ik denk dat er binnenkort weer een update van WP komt.

Wat een hoop gooi- en smijtwerk met zo inhoudsloos-mogelijk gebruikte termen.

Een van mijn wordpress websites is dus ook geinfecteerd. En ik heb geen idee hoe ik hiervan af kan komen. Wat zijn de dingen die ik kan doen?

Bovendien is het niet zo dat het linken naar pornosites na één keer ophoudt. Dit gebeurd gewoon iedere keer. De werkelijke inhoud wordt niet meer getoond.