Det finns i princip tre olika metoder du kan lösa problemet på, vi kommer gå igenom alla tre här nedanför.
Städa ut hacket
Metod 1 – Återställning från backup
Att återställa hemsidan från en backuppunkt som du vet är ren från infektion är vanligtvis den enklaste och bästa metoden. Den är enkel eftersom du enbart behöver göra en återställning och sedan är alla infekterade filer borta och den är bra eftersom du kan vara relativt säker på att du blev av med alla skadliga filer (om du följer nedanstående instruktioner vill säga).
Det enda negativa med den här metoden är att du kan förlora data. T.ex. om din hemsida har varit hackad i en vecka och under den tiden har du laddat upp en del bilder till den. Då kommer en återställning från en vecka tillbaka resultera i att du förlorar bilderna som du laddade upp under den veckan. Det finns dock sätt att ta sig runt det problemet, mer om det längre ner.
Om din hemsida har blivit infekterad så kan både filer och databasen vara infekterad. Vi rekommenderar dock att du börjar med att återställa enbart filer eftersom det minimerar risken för dataförlust. Om återställning av filer inte hjälper kan du återställa databasen också, mer om det längre ner.
Återställning av filer
Exakt hur du använder vårt backupverktyg för att återställa filer har vi en separat guide om här. (Läs dock vidare här nedanför innan du gör din återställning.)
Innan du kan göra en återställning måste du först hitta en backuppunkt som inte är infekterad. Du kan göra det genom att välja ut två stycken av de skadliga filerna som vi har rapporterat till dig (om du inte har fått en sådan rapport kan du be oss skanna ditt konto) och helt enkelt se om filerna finns med i backuppunkterna. Om du hittar någon av de skadliga filerna i en backuppunkt så vet du att just den punkten också är infekterad. Om du inte kan hitta dom skadliga filerna i en backuppunkt så vet du att du har hittat en punkt som är ren, då kan du göra återställningen från det datumet.
Viktigt här är att skilja på skadliga filer och injicerade filer. Skadliga filer ska inte finnas på webbhotellkontot överhuvudtaget. Injicerade filer är legitima filer där skadlig kod har lagts till i filen, de finns alltså normalt sett på webbhotellkontot (minus den injicerade koden). Du ska alltså kolla efter skadliga filer i backuppunkterna, inte injicerade filer.
När du har hittat ett datum som du kan återställa från kan du följa vår guide för att genomföra återställningen.
Genom att först byta namn på mappen som du ska återställa så har du en kopia av hur hemsidan såg ut innan återställningen. Du har därmed också en kopia av eventuella filer som inte finns med i backupen. Om du t.ex. saknar några bilder efter återställningen skulle du därför manuellt kunna flytta över dom från mappen som innehåller den infekterade hemsidan till mappen som innehåller den återställda. Om du enbart flyttar över specifika bilder eller dokument så ska det inte vara några problem. Du får dock t.ex. inte flytta tillbaka en hel mapp eftersom den mappen kan innehålla skadliga filer.
Återställning av databas
Om enbart återställning av filer inte löste ditt problem så kan det vara så att du måste återställa databasen också. För återställning av databas behöver du inte tänka på något utöver det som står i vår guide om hur man återställer en databas (följ alla rekommendationer i guiden).
Eftersom databasen innehåller det mesta av informationen som finns på en hemsida är det väldigt stor risk att du kommer förlora en del innehåll när du återställer databasen. Det går dock att lösa om du är villig att lägga ner en del tid på det.
Innan du utför återställningen enligt ovan, skapa en .sql-dump av nuvarande databas genom att följa instruktionerna här. Skapa sedan en ny databas på webbhotellkontot genom att gå igenom stegen som beskrivs här. Slutligen, importera .sql-dumpen till den nyligen skapade databasen genom att följa den här guiden.
När du har gjort det kan du sedan använda phpMyAdmin (cPanel -> phpMyAdmin) för att exportera data från den gamla databasen som du förlorade och sedan importera den till den återställda databasen.
Metod 2 – Manuell städning
Du kan också manuellt gå igenom alla filer som din hemsida består av och rensa ut skadliga filer. Det kan ta en hel del tid men du kan uppnå bra resultat om du vet vad du gör. Den största fördelen med den här metoden är att du inte kommer förlora någon data.
Det enda hållbara sättet att genomföra den här metoden på är genom SSH. Att göra det via t.ex. FTP eller Filhanteraren i cPanel skulle göra att något som redan tar en hel del tid kommer ta minst dubbelt så lång tid.
Vi rekommenderar att du börjar med den lista med skadliga filer som vi har mailat ut till kontoägaren (om du inte har fått någon sådan lista kan du be oss skanna ditt webbhotellkonto). Det ger dig en bra utgångspunkt för att hitta fler skadliga filer.
Du skulle kunna börja med att hitta något som alla de skadliga filerna har gemensamt, t.ex. redigerades de samma dag, innehåller alla en viss sekvens med tecken, är alla av samma filtyp. När du har hittat något som de har gemensamt kan du använda ett passande Linux-kommando för att hitta alla filer på webbhotellkontot som har den egenskapen. Troligtvis så kommer du då hitta skadliga filer utöver de som vi rapporterade.
Om även databasen har blivit infekterad så kan du rensa den antingen via phpMyAdmin i cPanel eller så kan du använda mysql-cli via SSH.
Vi kommer inte gå så mycket djupare i det här avsnittet eftersom det är för avancerade användare och du behöver därför på egen hand komma fram till vad som fungerar bäst i din situation.
Metod 3 – Börja om
Med börja om menar vi helt enkelt att du tar bort din nuvarande hemsida och börjar om från grunden igen. Det kanske låter extremt men det är en metod som fungerar bra i vissa fall. T.ex. om du ännu inte har hunnit skapa något innehåll för hemsidan så finns det inte så mycket du förlorar på att börja om från början. Eller om du ändå är i processen att bygga en helt ny hemsida, då kanske det inte är värt att lägga ner tid på att försöka rensa ut alla skadliga filer från hemsidan. Då kan du istället ta bort den infekterade hemsidan och lansera den nya.
Den största fördelen med den här metoden är att den garanterar att du blir av med alla skadliga filer. Det är en väldigt stor fördel eftersom om du missar att ta bort en enda skadlig fil så kan hackaren ta sig in igen genom den filen.
Efter städning
När du tror att du har fått bort all skadlig kod kan du kontakta oss via mail och be oss skanna ditt konto igen. Vi ser helst att du svarar på det mail som vi skickade ut till dig med rapporten om de skadliga filerna, på så sätt kommer ditt svar in i rätt ärende.
Om vi hittar mer skadlig kod kommer vi återkomma till dig.
Beroende på vad du sparar för slags information på din hemsida kan du vara skyldig att anmäla intrånget till Integritetsskyddsmyndigheten. Du kan läsa mer om när man är anmälningsskyldig här och du kan anmäla ett dataintrång här.
Varför blev jag hackad?
Anledningar till varför man blir hackad varierar. Det är ovanligt att attacker är personligt riktade mot dig eller ditt företag. Vanligtvis sker attacker som detta av automatiska program på internet.
Följande är exempel på varför en hemsida kan bli hackad:
- I syfte att skicka skräppost mot internet med våra servrar vid lyckat intrång.
- “Hobby-hack”, alltså någon hackade sidan för att hen tyckte det var kul.
- Spridning av ett generellt budskap genom att t.ex. ersätta er index-sida.
- Lägga upp bedrägerisidor, t.ex. att genom phishingattacker med falska banksidor som försöker stjäla pengar.
- Spridning virus, malware eller att använda ditt konto för attacker mot andra servrar på internet.
- Hemsidan lagrar känsliga uppgifter (t.ex. om personer eller kreditkort) och målet är att stjäla dessa.