Malware op site volgens Google

Hallo,

Op mijn 1.5 site bleek enkele .htaccess bestanden aangepast met verwijzingen naar malware sites. Ik heb de adviezen op dit forum gelezen (alles verwijderen, wachtwoorden aanpassen, malware scan op PC etc.) en opgevolgd.

Voor mij betekende dit een nieuwe installatie in 2.5. Veel werk maar weer eens goed om alles te doorlopen.

Vervolgens heb ik via Google webmaster tools gevraagd om de nieuwe site opnieuw te beoordelen. Google meldt dat de site nog steeds verwijzingen naar de malware sites bevat. Het vreemde is echter dat er een link genoemd wordt die niet (meer) op mijn site voorkomt.

Op mijn oude site gebruikte ik Phoca Gallery voor foto's. Op mijn nieuwe site doe ik dat anders. Phoca Gallery is niet geïnstalleerd op mijn nieuwe site. Google meldt dat een Phoca Gallery URL op mijn site de verwijzing bevat. Als ik die URL invoer in de adresbalk komt er keurig een 404 melding: De pagina bestaat niet.

Wie helpt mij deze puzzel op te lossen?

Hoi Jos,

Heel vervelend, maar de kans is heel groot dat je PC nog steeds niet schoon is.

Veel scripts hechten zich aan de volgende soort bestanden:

.htaccess
configuration.php
index.php

Je zult de speurtocht volledig opnieuw moeten starten. Te beginnen bij je eigen computer.
Het lijstje is je geloof ik al bekend.

Hoi Otto,

Dank voor je reactie. Het zou aan mijn PC (een Mac) kunnen liggen. Maar die kans acht ik niet erg groot. Dan is het wellicht een optie om alles opnieuw te installeren vanaf een andere PC.

De speurtocht die je voorstelt is nauwelijks uit te voeren. De bestanden die je noemt komen namelijk op veel plaatsen voor. Ik heb er al enkele gecontroleerd. Die blijken allemaal schoon.

Hoi Jos,

Al geprobeerd de access logs van je host te bestuderen? Op basis van tijd en datum kun je veel terugvinden.
Als je het hacken wilt stoppen zul je de oorzaak moeten vinden.

En, het is helaas maar waar, ook een Mac kan geïnfecteerd raken.

doe eens een voorbeeldlink?

Ik heb de URL die volgens Google naar een malware site verwijst via een PB naar Jheroen gestuurd. Jheroen bevestigt dat de URL niet meer bestaat en vermoedt dat de melding vanzelf zal verdwijnen.

Ik hoop het...

Ook mijn hosting provider bevestigt dat de door Google genoemde URL niet meer bestaat. Dus maar weer een controleverzoek bij Google gedaan. En wat denk je: Google vindt de URL nog steeds.

Ik denk dat ik het er maar even bij laat zitten en hoop dat dit vanzelf over gaat... Vroeg of laat zal ook Google er toch wel achter komen dat het anders is dan ze nu beweren.

Heb je de cache van de site geleegd?

Nee ik heb de cache niet geleegd. Het cachen is ook niet ingeschakeld. De cachemap is ook leeg op een leeg html bestand na.

Een lichtpuntje is misschien dat Google aangeeft dat de site gehost is op een server van mijn hosting provider én op AS15169 (Google Internet Backbone). Bij mijn hosting provider kan ik van alles aanpassen. Maar op de Google Internet Backbone niet.

Google geeft ook aan dat er DNS fouten zijn. Ik heb dat bij mijn hosting provider nagevraagd en daar blijkt alles in orde te zijn. Ophalen als Google gaat ook goed evenals het indienen van de hoofd URL bij de index.

Zouden die DNS fouten dan ook te maken hebben met het gehost zijn op de Google Internet Backbone?

Maak je misschien gebruik van een SEF extensie als SH404SEF of iets dergelijks?

Nee, ook niet.

Ik heb alleen JCE editor, XCloner en Bigshot (Google analytics) als extensie geïnstalleerd.

Het is opgelost!

De aanwijzingen van Google webmaster tools bleken niet juist. De genoemde URL bestond niet meer. Via een andere check op Malware werden ook bestaande pagina's genoemd die code zouden bevatten die naar malware sites zouden verwijzen. Ook dat bleek niet juist.

In die lijst stonden ook - maar nu andere - niet bestaande URL's op mijn site die malware redirect codes zouden bevatten. Bij het controleren van die URL's werd ik direct doorgestuurd naar de malware sites. Dit moest haast het gevolg zijn van een .htaccess bestand die bij een 404 direct zou doorlinken.

Maar... Er stonden geen .htaccess bestanden meer op mijn site. Althans, dat dacht ik...

Het bleek dat ik via FTP niet op het allerhoogste niveau op mijn site binnenkwam. Dit had te maken met een instelling via mijn hosting provider waar je de startniveau voor FTP op kunt geven. Eenmaal daar aangekomen, kan je niet op een hoger niveau terecht komen.

Dank zij de perfecte assistentie van de helpdesk van mijn hosting provider (pxectreme.nl) werd dit opgemerkt en na aanpassing van de FTP startpagina (geen startniveau meer), zag ik op het allerhoogste niveau nog een .htaccess met de malware redirects.

Dit bestand heb ik verwijderd en via Google webmaster tools opnieuw een beoordelingsverzoek gedaan. Mijn site is weer van de blacklist af. Hoera en hulde voor de service van pcextreme!

Het blijf natuurlijk wel eigenaardig dat Google alleen melde dat er iets aan de hand was met een niet bestaande URL en niet aangaf dat er nog een .htaccess bestand stond.

Ik wil alle mensen die in dit draadje gereageerd hebben bedanken voor hun hulp. Mede dankzij jullie is dit opgelost.