Kwaadwilligen krijgen meestal toegang tot de hosting account via een lek in de PHP code, daarom is het belangrijk uw CMS regelmatig bij te werken naar de nieuwste versie.
Na een succesvolle toegangspoging worden meestal (verspreid over een langere periode) meer en meer bestanden aangepast. Op deze manier is de kans groot dat een besmet bestand achterblijft en op die manier de hackers opnieuw toegang geeft tot de website.
De kans is reëel dat hackers inzage kregen in uw config file en op die manier ook de gegevens van uw database hebben bemachtigd. Ook deze wachtwoorden pas je dus best aan.
Website volledig restoren
De beste oplossing na een hack is de account volledig leegmaken en een nieuwe schone kopie van uw website uploaden. Dit is de enige manier om te garanderen dat alle besmette bestanden weg zijn.
Scannen naar besmette bestanden
Als het niet mogelijk is om een schone kopie terug te plaatsen, kan je enkele zoekopdrachten doen naar mogelijke kwaadaardige code. Dit is een tijdrovend proces dat geen garanties biedt.
Log in via SSH en voer onderstaande code uit:
find . -type f -name '*.php' | xargs grep -rilE '(PCT4BA6ODSE|return base64_decode|GLOBALS.*{.*}.*return|return@is_object)' --color
Alternatief kan je ook onderstaande proberen, deze heeft echter vrij veel false positives:
find . -type f -name '*.php' | xargs grep -l "eval *(" --color