[robincox]

Min sambos hemsida ligger på en vps som jag har hos ett seriöst svenskt webbhotell. När jag var inne och kollade på hennes ftp utrymme så upptäckte jag två mappar som inte funnits där tidigare. Den ena hette hedwig och den andra emblems. Mappen hedwig innehöll en massa skumma html filer, mappen emblems tittade jag inte i innan jag raderade båda mapparna.

Vi märkte detta genom google analytics. Ett antal besökare hade kommit in på sidan via sökfrasen "minsambosdomän.se/hedwig/nonsense.php". Eftersom jag visste att det inte fanns någon sådan fil så gick jag in på hennes ftp och fann de båda mapparna.

Innan dess så testade vi att gå in på den sidan "minsambosdomän.se/hedwig/nonsense.php" och då visades min sambos hemsida fasst nu med en massa lustiga bilder överallt. Inget porr utan bara skumma bilder som vi inte har någon att göra med.

Är det någon som har en aning om vad detta kan vara?

[Alto]

Har du den senaste versionen av wordpress (om du/hon nu använder wp) ?

[KristianE]

Säkerligen skadlig kod. Ett tips är att scanna din dator (om det är Windows)
i felsäkert läge med nätverk. Installera först Malware Byte's Antimalware
och uppdatera detta (i normalt läge). Starta sedan om datorn i felsäkert och
scanna med programmet.

Om din sambo använder någon CMS så kan det vara dags att uppdatera denna
liksom byta ut alla lösenord (även FTP-kontot) mot nya starka varianter med
gemener, Versaler, siffror och symboler.

[Bjorne]

Hedwig är din sambos väninnna. Hon höll på att designa om siten men nu sabbade du allt för henne!

[Anders Karlsson]

När man hittar konstiga filer så är det alltid bra att zippa ner dem innan man raderar dem. Dels för att använda dem för att spåra var de kommer ifrån dels ifall de faktiskt är filer som kan vara bra att ha.

Men det finns väl något trash-can liknande på vpsen?

[BarateaU]

Alltid bra att kolla vad som står i filerna så man kan skapa sig en bild av vad de gör, om som i ditt fall var mushup eller iframe av huvudsidan och sedan andra bilder eller liknande. Eller om de länkar vidare till infekterade grejer, finns en maleware del i analytics eller webmaster tool som du kan kika i och se om den har reagerat på filerna.

[ninza]

Att radera något innan man tittat/tagit reda på vad det är känns lite dumt. Nu kan du ju helt enkelt inte ta reda på vad det var för det är ju ingen här som kan svara på det hux flux.

[M@rtin]

Det är alltid en bra idé att ta en titt i de kataloger som används för bilduppladdning, ex images, om man misstänker hack. Inte helt ovanligt att illvilliga personer laddar upp php-filer i image-katalogerna och exekverar dem därifrån om man tillåter exekvering av filer i bildkataloger.