Troligen gick det till ungefär så här:

1. På något sätt fick skurkarna tag i FTP-lösenordet på lok.se. Det kan ha skett genom att någon av oss som har tillgång till det lösenordet har virus/keylogger eller annat skräp på någon dator. En annan möjlighet är att angriparna avlyssnat nättrafik och fångat upp det okrypterade lösenordet som skickas vid vanlig FTP.
2. Elakingarna loggade ca 11:30-11:50 in via FTP från massvis av olika (troligen kapade) datorer och ändrade alla filer de kunde hitta som hette index.php, index.html, main.php och liknande. En del filer, bland annat index.php som behövs för de flesta funktioner på lok.se ändrades på ett sådant sätt att den inte alls fungerade, vilket gjorde de flesta sidor och funktioner på lok.se otillgängliga. Det var nog inte avsiktligt, utan planen var nog att lägga in kod som ingen skulle lägga märke till, men som skulle orsaka dåligheter (t.ex. installera någon form av virus) på datorerna hos folk som tittar på lok.se.
3. Jag upptäckte vid ca 12:30-tiden att lok.se inte fungerade och såg att saker hade hänt i några filer. Jag försökte ta bort dumheterna från filerna och lappa ihop dem så gott det gick.
4. Jag ändrade även FTP-lösenord.
5. Jag lade in ett supportärende hos webbhotellet och bad dem återställa de filer jag hade sett var trasiga.
6. Utan min vetskap började webbhotellet skriva över alla filer och informationen i databasen (där t.ex. nyheter, foruminlägg, anmälningar och laguttagningar ligger) med en backup som jag tror är från natten mellan lördag och söndag. Webbhotellet hade nämligen märkt att fler filer än de jag upptäckt hade blivit angripna. Däremot var det nog både onödigt och dumt av dem att skriva över databasen eftersom all information som lagts in sedan backupen togs nu gått förlorad.
7. Webbhotellet ändrade även FTP-lösenord, så jag kunde inte komma in längre.
8. Nu vet jag FTP-lösenordet, men det kan vara farligt att använda det om datorn det används ifrån är infekterad. Mitt antivirusprogram hittar inget på datorn, men helt säker kan man inte vara. Om lösenordet läckte via en smittad dator och datorn fortfarande är smittad så vore det dumt att logga in via FTP. Tills vidare ska vi nog vara försiktiga med att släppa ut FTP-lösenordet till alltför många. Nackdelen är att det gör att färre personer kan uppdatera vissa saker på hemsidan.

Troligen kommer det inte att gå att återställa den information som gick förlorad när den gamla backupen från databasen laddades in. Det innebär att laguttagningar och anmälningar som gjorts de senaste dagarna behöver göras om.