1. Home
  2. Säkerhet
  3. Min hemsida har blivit hackad, vad gör jag?

Min hemsida har blivit hackad, vad gör jag?

Det finns i princip tre olika metoder du kan lösa problemet på, vi kommer gå igenom alla tre här nedanför.

Ofta blir du uppmärksammad på att din hemsida blivit hackad genom att vi skickar ett mail till dig med en lista på skadliga filer. Om du inte har fått ett sådant mail men du misstänker att din hemsida har blivit hackad, kontrollera gärna ditt webbhotellkonto med verktyget Imunify360 som finns tillgängligt genom cPanel.

Städa ut hacket

Råden här gäller allmänt, oavsett hos vilken leverantör du har din hemsida. Guiden baseras på hur man utför de olika åtgärderna hos oss, men liknande steg bör gå att utföra hos din leverantör, oavsett var din hemsida ligger.

Tänk på att en hackad hemsida inte blir automatiskt städad/reparerad bara för att sidan flyttas till en annan leverantör.

Metod 1 – Återställning från backup

Att återställa hemsidan från en backuppunkt som du vet är ren från infektion är vanligtvis den enklaste och bästa metoden. Den är enkel eftersom du enbart behöver göra en återställning och sedan är alla infekterade filer borta och den är bra eftersom du kan vara relativt säker på att du blev av med alla skadliga filer (om du följer nedanstående instruktioner vill säga).

Det enda negativa med den här metoden är att du kan förlora data. T.ex. om din hemsida har varit hackad i en vecka och under den tiden har du laddat upp en del bilder till den. Då kommer en återställning från en vecka tillbaka resultera i att du förlorar bilderna som du laddade upp under den veckan. Det finns dock sätt att ta sig runt det problemet, mer om det längre ner.

Om din hemsida har blivit infekterad så kan både filer och databasen vara infekterad. Vi rekommenderar dock att du börjar med att återställa enbart filer eftersom det minimerar risken för dataförlust. Om återställning av filer inte hjälper kan du återställa databasen också, mer om det längre ner.

Återställning av filer

Exakt hur du använder vårt backupverktyg för att återställa filer har vi en separat guide om här. (Läs dock vidare här nedanför innan du gör din återställning.)

Innan du kan göra en återställning måste du först hitta en backuppunkt som inte är infekterad. Du kan göra det genom att välja ut två stycken av de skadliga filerna som vi har rapporterat till dig (om du inte har fått en sådan rapport kan du be oss skanna ditt konto) och helt enkelt se om filerna finns med i backuppunkterna. Om du hittar någon av de skadliga filerna i en backuppunkt så vet du att just den punkten också är infekterad. Om du inte kan hitta dom skadliga filerna i en backuppunkt så vet du att du har hittat en punkt som är ren, då kan du göra återställningen från det datumet.

Viktigt här är att skilja på skadliga filer och injicerade filer. Skadliga filer ska inte finnas på webbhotellkontot överhuvudtaget. Injicerade filer är legitima filer där skadlig kod har lagts till i filen, de finns alltså normalt sett på webbhotellkontot (minus den injicerade koden). Du ska alltså kolla efter skadliga filer i backuppunkterna, inte injicerade filer.

Innan du gör återställningen måste du byta namn på den mapp som hemsidan ligger i just nu. Om hemsidan ligger i t.ex. public_html kan du döpa om den till public_html_old, sedan kan du återställa hela public_html-mappen.

När du har hittat ett datum som du kan återställa från kan du följa vår guide för att genomföra återställningen.

Genom att först byta namn på mappen som du ska återställa så har du en kopia av hur hemsidan såg ut innan återställningen. Du har därmed också en kopia av eventuella filer som inte finns med i backupen. Om du t.ex. saknar några bilder efter återställningen skulle du därför manuellt kunna flytta över dom från mappen som innehåller den infekterade hemsidan till mappen som innehåller den återställda. Om du enbart flyttar över specifika bilder eller dokument så ska det inte vara några problem. Du får dock t.ex. inte flytta tillbaka en hel mapp eftersom den mappen kan innehålla skadliga filer.

Återställning av databas

Om enbart återställning av filer inte löste ditt problem så kan det vara så att du måste återställa databasen också. För återställning av databas behöver du inte tänka på något utöver det som står i vår guide om hur man återställer en databas (följ alla rekommendationer i guiden).

Eftersom databasen innehåller det mesta av informationen som finns på en hemsida är det väldigt stor risk att du kommer förlora en del innehåll när du återställer databasen. Det går dock att lösa om du är villig att lägga ner en del tid på det.

Nedanstående instruktioner är för dig som är bekväm med att jobba med MySQL-databaser.

Innan du utför återställningen enligt ovan, skapa en .sql-dump av nuvarande databas genom att följa instruktionerna här. Skapa sedan en ny databas på webbhotellkontot genom att gå igenom stegen som beskrivs här. Slutligen, importera .sql-dumpen till den nyligen skapade databasen genom att följa den här guiden.

När du har gjort det kan du sedan använda phpMyAdmin (cPanel -> phpMyAdmin) för att exportera data från den gamla databasen som du förlorade och sedan importera den till den återställda databasen.

Metod 2 – Manuell städning

Den här metoden är för avancerade användare.

Du kan också manuellt gå igenom alla filer som din hemsida består av och rensa ut skadliga filer. Det kan ta en hel del tid men du kan uppnå bra resultat om du vet vad du gör. Den största fördelen med den här metoden är att du inte kommer förlora någon data.

Det enda hållbara sättet att genomföra den här metoden på är genom SSH. Att göra det via t.ex. FTP eller Filhanteraren i cPanel skulle göra att något som redan tar en hel del tid kommer ta minst dubbelt så lång tid.

Vi rekommenderar att du börjar med den lista med skadliga filer som vi har mailat ut till kontoägaren (om du inte har fått någon sådan lista kan du be oss skanna ditt webbhotellkonto). Det ger dig en bra utgångspunkt för att hitta fler skadliga filer.

Du skulle kunna börja med att hitta något som alla de skadliga filerna har gemensamt, t.ex. redigerades de samma dag, innehåller alla en viss sekvens med tecken, är alla av samma filtyp. När du har hittat något som de har gemensamt kan du använda ett passande Linux-kommando för att hitta alla filer på webbhotellkontot som har den egenskapen. Troligtvis så kommer du då hitta skadliga filer utöver de som vi rapporterade.

Om även databasen har blivit infekterad så kan du rensa den antingen via phpMyAdmin i cPanel eller så kan du använda mysql-cli via SSH.

Vi kommer inte gå så mycket djupare i det här avsnittet eftersom det är för avancerade användare och du behöver därför på egen hand komma fram till vad som fungerar bäst i din situation.

Metod 3 – Börja om

Med börja om menar vi helt enkelt att du tar bort din nuvarande hemsida och börjar om från grunden igen. Det kanske låter extremt men det är en metod som fungerar bra i vissa fall. T.ex. om du ännu inte har hunnit skapa något innehåll för hemsidan så finns det inte så mycket du förlorar på att börja om från början. Eller om du ändå är i processen att bygga en helt ny hemsida, då kanske det inte är värt att lägga ner tid på att försöka rensa ut alla skadliga filer från hemsidan. Då kan du istället ta bort den infekterade hemsidan och lansera den nya.

Den största fördelen med den här metoden är att den garanterar att du blir av med alla skadliga filer. Det är en väldigt stor fördel eftersom om du missar att ta bort en enda skadlig fil så kan hackaren ta sig in igen genom den filen.

Efter städning

När du tror att du har fått bort all skadlig kod kan du kontakta oss via mail och be oss skanna ditt konto igen. Vi ser helst att du svarar på det mail som vi skickade ut till dig med rapporten om de skadliga filerna, på så sätt kommer ditt svar in i rätt ärende.

Om vi hittar mer skadlig kod kommer vi återkomma till dig.

När du har fått bekräftat att all skadlig kod är borta behöver du förbättra säkerheten på din hemsidan så att du inte blir hackad igen. Vi har en guide här som går igenom vad du kan göra för att göra din hemsida säkrare.

Beroende på vad du sparar för slags information på din hemsida kan du vara skyldig att anmäla intrånget till Integritetsskyddsmyndigheten. Du kan läsa mer om när man är anmälningsskyldig här och du kan anmäla ett dataintrång här.

Varför blev jag hackad?

Anledningar till varför man blir hackad varierar. Det är ovanligt att attacker är personligt riktade mot dig eller ditt företag. Vanligtvis sker attacker som detta av automatiska program på internet.

Följande är exempel på varför en hemsida kan bli hackad:

  • I syfte att skicka skräppost mot internet med våra servrar vid lyckat intrång.
  • “Hobby-hack”, alltså någon hackade sidan för att hen tyckte det var kul.
  • Spridning av ett generellt budskap genom att t.ex. ersätta er index-sida.
  • Lägga upp bedrägerisidor, t.ex. att genom phishingattacker med falska banksidor som försöker stjäla pengar.
  • Spridning virus, malware eller att använda ditt konto för attacker mot andra servrar på internet.
  • Hemsidan lagrar känsliga uppgifter (t.ex. om personer eller kreditkort) och målet är att stjäla dessa.
Hjälpte den här guiden dig?

Relaterade guider

Behöver du mer hjälp?
Kan du inte hitta lösningen på ditt problem? Då kan du kontakta oss via e-post, chatt och telefon!
Kontakta oss