En ’uskyldig’ logfil ledte mig på sporet af, hvad der havde inficeret min WordPress blog, og mine erfaringer kan måske hjælpe andre.
Jeg er på ingen måde ekspert, men jeg har da lært et og andet af, at min webside blev hacket, og i det følgende skriver jeg noget om, hvad der ledte mig på sporet af rr.nu-viruset, hvad man kan gøre præventivt, og hvad man kan gøre, hvis det sker alligevel.
Men lad mig først beklage dybt, at jeg har bragt mine læsere i fare. Hvis du er en af dem, der blev omdirigeret, anbefaler jeg kraftigt et virusscan af din computer, og hvis dit antivirusprogram ikke reagerede, da du blev omdirigeret, bør du alvorligt overveje at anskaffe et andet!
Nå, til sagen! Som jeg skrev i går, slettede jeg hele WordPress-installationen i fredags, ”gjorde rent,” skiftede password og installerede bloggen forfra.
I går gennemgik jeg minutiøst hele mit website (altså ikke bare WordPress) med mit FTP-program. Fredag konstaterede jeg, at indbruddet måtte være sket den 29. juni, hvor mange PHP-filer i WordPress var ændret ”umotiveret”, så jeg koncentrerede mig om alt fra den 29.6. og frem.
Det tog timer at tjekke det hele, for det er efterhånden et stort site, men der var gevinst: På samme niveau som kataloget med WordPress (og en del andre kataloger) lå et katalog ”.logs” som indeholdt en enkelt tilsyneladende uskyldig tekstfil ”log1.txt”.
Filen indeholdt 20 webadresser, som alle sluttede på ”rr.nu”. Jeg indsatte med dødsforagt en af dem i min browser, og antivirusprogrammet fik et hysterisk anfald. Webadresser var bl.a. det, jeg ledte efter fredag, da jeg granskede PHP-filer, men jeg ledte det forkerte sted.
Jeg overvejede at erstatte webadresserne med ”Smiley was here,” men valgte at slette filen.
En søgning på ”rr.nu” gav omgående alarmerende resultat. Det er en stribe sub-domæner på en server i U.S.A., som er kendte for med virus at omdirigere til sider med malware, og de har bl.a. hacket masser af PHP-baserede sider som WordPress-blogs, Joomla m.fl.