Site verzend spam - hoster heeft site offline gehaald

**Marcel Melis** · 27-03-2016, 21:51

Hallo,

Ik kreeg het volgende mailtje van een klant:

Vrijdagmiddag heeft het hostingbedrijf mijn website uit de lucht gehaald omdat hij gehackt is.
Men heeft dat geconstateerd omdat er een enorme hoeveelheid mailtjes via de website verstuurd werden.

Hoe gaan we er voor zorgen zo snel mogelijk weer online te zijn ?

Ik heb hier geen ervaring mee... de site bevatte eerder al malware, toen heb ik WordFence geïnstalleerd en een uitgebreide scan laten draaien (ook bestanden buiten de WordPress installatie). Deze gaf een aantal verdachte bestanden aan, die heb ik toen verwijderd. Daarna hebben we nog enkele keren meldingen gehad en bestanden verwijderd maar de afgelopen weken niet meer... tot nu dus. Uiteraard zijn destijds alle wachtwoorden aangepast van zowel de WordPress gebruikers als de FTP.

Wie kan mij adviseren wat te doen? En waar zal de oorzaak waarschijnlijk te vinden zijn? In de WordPress bestanden of eerder op de server zelf?

**Dennis de Wit** · 28-03-2016, 00:41

Probeer het script shelldetect.com eens te installeren op de geïnfecteerde omgeving. Kijk ook even of er in Exim nog mailtjes op de te-verzendenlijst staan.

**I. van Zon** · 28-03-2016, 08:26

Geautomatiseerd zoeken via de terminal om geinfecteerde bestanden te zoeken. Krijgt anders nooit alle bestanden gevonden.

hier een begin: http://www.gregfreeman.io/2013/steps...s-been-hacked/

**Rutgervdg** · 28-03-2016, 09:16

En bij nieuwe sites daarna betere beveiliging installeren. Ook controleren waar het fout is gegaan. Je klant kan ook de boosdoener zijn. Even simpel wachtwoord omdat je er al zoveel hebt en daarna elke keer als de site gehacked is jou uren laten maken.

**jeroen verduyn** · 28-03-2016, 16:37

gebruik je nulled plugins ? zo ja ....... verwijder die dan of ga alle bestanden nalopen op de aanwezigheid van een bestand met de naam "social.png" ...... 9 tegen 10 dat die bestanden besmet zijn. Wss heb je te maken met CryptoPHP die in dergelijke bestanden verstopt zit............bekijk je social.png dan zie je php code in kladblok of een andere editor ........ uitkijken dus

**Jacob S** · 28-03-2016, 17:59

Even in je statistieken kijken (van acceslog, niet analytics), er zal ongetwijfeld een script zijn die vaak wordt aangeroepen.

En probeer mijn plugin eens, de kans is groot dat het daarna niet weer gehacked wordt;
http://www.js-systems.nl/wordpress-h...-en-opschonen/

Als het niet lukt, dan kan je me wel even een PM sturen, en dan kan ik je helpen om het op te schonen.

**Marcel Melis** · 29-03-2016, 07:06

Iedereen bedankt voor de reacties.

@Dennis en I van zon, ik ga eens kijken of ik daar wat mee kan, thanks.

@Rutger, ik heb alle wachtwoorden aangepast na de eerste hack, allemaal met een random password generator dus er is geen sprake van simpele wachtwoorden. Qua beveiliging gebruik ik dus WordFence op die site, waarbij ook alle bestanden buiten WP gescand worden. We hadden een tijdje geleden wel het probleem dat de mailfunctie van WP niet werkte. De host kon toen de oorzaak niet vinden dus toen heb ik een veelgebruikte SMTP plugin gebruikt.

@Jeroen, jij ook bedankt voor je tip. Ik gebruik geen nulled plugins, alleen plugins van wordpress.org in dit geval. Als ik me niet vergis heb ik WordFence ook alle afbeeldingen laten scannen alsof ze executable zijn maar het zou kunnen dat ik die optie weer heb uitgeschakeld... de site is momenteel offline dus ik kan het niet controleren.

@Jacob, moet even kijken of ik daarbij kan. Ik heb volgens mij momenteel geen login voor de hostingomgeving, alleen FTP en WP.

Eerst maar eens proberen de website weer online te krijgen, alle bestanden te verwijderen van de server, WordPress en alle plugins opnieuw te downloaden en alle bestanden die uit de backup teruggezet moeten worden (het child theme en afbeeldingen) eerst handmatig te controleren.

**Rutgervdg** · 29-03-2016, 07:35

Hoi Marcel,

De klant heeft dus geen inlog? Denk ook eens aan ftp programma's of je eigen computer. Kan ook de oorzaak zijn maar meestal is het brute forcing. Een limit login plugin houdt dan al veel tegen.

Succes!

**Marcel Melis** · 29-03-2016, 07:38

Hoi Rutger,

De klant is 70+ dus die doet zelf niets aan zijn site, behalve af en toe wat teksten aanpassen. Ik gebruik zelf WinSCP als FTP programma, en WordFence heeft een ingebouwde brute force beveiliging (gebruiker wordt al na 5 mislukte inlogpogingen geblokkeerd).

Kan het probleem ook in de database zitten? En zo ja waar?

**Guido Hoogsteder** · 29-03-2016, 15:29

Uitgebreid stappenplan vind je hier:

https://www.hosting2go.nl/klantenser...los-je-het-op/

**Marcel Melis** · 29-03-2016, 19:11

De hoster zegt het probleem gevonden te hebben en heeft de site weer online gezet. Hij zou het even in de gaten houden en me morgen een mailtje sturen met wat meer uitleg. We wachten even af...

**Christophe Cleerbout** · 05-05-2016, 10:18

Hallo,
mijn wordpress site is gisteren ook gehacked, ik heb hem laten maken, maar mijn webdesigner is "onbereikbaar" kan jij mij misschien helpen om de site op te schonen en terug online te krijgen?

**gast10494** · 05-05-2016, 15:38

Origineel gepost door Christophe Cleerbout

Hallo,
mijn wordpress site is gisteren ook gehacked, ik heb hem laten maken, maar mijn webdesigner is "onbereikbaar" kan jij mij misschien helpen om de site op te schonen en terug online te krijgen?

Lijkt me het beste als je zelf eventjes een nieuw topic start in het werk gedeelte. Dan komen er vast wel mensen die dit voor je kunnen oplossen.

**Marcel Melis** · 05-05-2016, 19:53

Hoi Christophe,

Probeer de stappen uit dit artikel eens.

Site verzend spam - hoster heeft site offline gehaald