Type malware-infectie: SQL-invoeging

Wat houdt het in als pagina's zijn gemarkeerd met het type malware-infectie 'SQL-invoeging' in Google Search Console?

Bij malware van het type 'SQL-invoeging' is de database van de site waarschijnlijk gehackt. Het is bijvoorbeeld mogelijk dat de hacker via een programma schadelijke code aan elke record van een databasetabel heeft toegevoegd. Wanneer de server later een pagina laadt die informatie uit de database nodig heeft, wordt de schadelijke code ingesloten in de inhoud van de pagina, wat schadelijk kan zijn voor de bezoekers van de site.

Bekijk De schade beoordelen (malware) voor meer algemene informatie over malware.

Hoe onderzoek ik malware van het type 'SQL-invoeging'?

Gebruik geen browser om geïnfecteerde pagina's op uw site te bekijken. Omdat malware zich vaak verspreidt door misbruik te maken van kwetsbaarheden van de browser, kunt u door het openen van een geïnfecteerde malwarepagina in een browser uw computer beschadigen.

U kunt het gedrag controleren door cURL of Wget te gebruiken om HTTP-verzoeken uit te voeren (bijvoorbeeld om een pagina op te halen). Deze tools zijn gratis beschikbaar en zijn nuttig bij de diagnose van omleidingen en kunnen tevens informatie verstrekken over de verwijzende URL of user-agent. Door schadelijke inhoud alleen te leveren aan gebruikers met bepaalde user-agents of verwijzende URL's, kan de hacker meer 'echte mensen' targeten en beter voorkomen dat hij wordt gedetecteerd door site-eigenaren en malwarescanners. (Uw site moet online zijn om deze tools te gebruiken.)

Bijvoorbeeld:
$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
zoals
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Controleer de uitvoer van Wget of cURL op woorden zoals 'iframe' of 'eval' die mogelijk zijn toegevoegd door de cybercrimineel.

Log vervolgens in bij uw databaseserver of bekijk uw database via een tool zoals phpMyAdmin. Als u Wget of cURL heeft gebruikt, probeert u de vastgestelde schade in de broncode van de pagina via Wget of cURL in verband te brengen met de daadwerkelijke databaserecords. Als u bijvoorbeeld heeft vastgesteld dat uw pagina's een gevaarlijke iframe bevatten, kunt u een SQL-query uitvoeren om iframe-code te zoeken. Bijvoorbeeld:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

U kunt ook het databaselogboek en de foutbestanden op uw server controleren op ongebruikelijke activiteit, zoals onverwachte SQL-opdrachten die abnormaal lijken voor gewone gebruikers of fouten.

Hoe kan ik mijn site ontdoen van malware van het type 'SQL-invoeging'?

Als u klaar bent om uw site schoon te maken, kunt u elke geïnfecteerde databaserecord updaten of kunt u de laatste goede databaseback-up terugzetten.

Houd er rekening mee dat het verwijderen van de schadelijke code geen oplossing is voor de onderliggende zwakke plek waardoor de hacker in eerste instantie toegang kreeg tot uw site. Als u de hoofdoorzaak niet aanpakt, kan uw site in de toekomst opnieuw worden gehackt. Bekijk Help voor gehackte sites voor meer informatie over het opschonen van een gehackte site.

Was dit artikel nuttig?
Hoe kunnen we dit verbeteren?