Hoi

ik heb een aardige hack/malware ontdekt op een aantal buitenlandse websites.
Op één of andere manier wordt een script geinstalleerd over één topic met backlinks naar andere sites waar het overprecies hetzelfde topic gaat.

De sites die gehackt zijn hebben een redelijk hoge waarde en zijn echte sites van bedrijven die niet eens in de gaten hebben dat ze gehackt zijn.

Resultaat binnen enkele dagen staan de gehackte sites op een nogal sterk keyword in de top op pagina 1 en wanneer je er op klikt word je omgeleid naar een pagina waarmee dan uiteraard snel geld mee word gemaakt.

Kent iemand dit soort scripts of hack?

Bestaat er een scanner waarmee je kunt zien welke hack dat precies is?

Gebruik je toevallig Wordpress? Heb je (tijdelijk) een backup ingeschakeld om te kijken of het probleem dan is verdwenen?

Het eerste waar ik aan denk is https://sitecheck.sucuri.net/ hoewel ik niet weet of deze dit soort hacks ook ontdekt.

Nee, al geprobeerd, wordt niet herkend.

@gast74241
Nee, het zijn niet mijn sites en het is geen wordpress maar meestal een cms. Ik denk dat ze via php het script installeren. Ik zie bij veel sites article.php staan. Bij een refresh id de browser verandert afbeelding en content op dezelfde url.
Ik weet niet hoe ze dit flikken maar het lijkt me wel interessant er achter te komen waarom dit snel rankt en hoe dit werkt.

Origineel gepost door Matthias Marin

Kent iemand dit soort scripts of hack?

Ken wel al jaren de hack waarbij er via css niet zichtbare links op websites van diverse bedrijven worden geplaatst.

Vaak waren dit links naar fake rolex, breitling, etc. horlogewebshops of andere merkartikelen (nike, puma, adidas, etc.). Deze webshops bestaan vaak maar even en worden daarna opgedoekt.


Veelal wordt hierbij door de hacker of cracker gebruik gemaakt van niet up-to-date software aan zowel user- als serverside.

Origineel gepost door Matthias Marin

Nee, al geprobeerd, wordt niet herkend.

@gast74241
Nee, het zijn niet mijn sites en het is geen wordpress maar meestal een cms. Ik denk dat ze via php het script installeren. Ik zie bij veel sites article.php staan. Bij een refresh id de browser verandert afbeelding en content op dezelfde url.
Ik weet niet hoe ze dit flikken maar het lijkt me wel interessant er achter te komen waarom dit snel rankt en hoe dit werkt.

Als de link van Bas geen duidelijkheid geeft, kan je misschien de core bestanden overschrijven, misschien zit het probleem daarin. Ik weet niet welk CMS je gebruikt, plugins/extensies uitschakelen kan helpen. Het kan ook met het template/thema te maken hebben, maar ik neem aan dat je niet overal hetzelfde template/thema gebruikt. Staan alle websites op dezelfde server? Zie je geen vreemde dingen in de SQL databases?

Ik heb a wat hacks gezien en inderdaad ook de article.php maar dat zegt nog helemaal niets eigenlijk. Je kan de file noemen zoals je wilt.
Wat meestal het geval is is dat men binnenkomt via een slecht geschreven of erg verouderde plugin. Als je ook maar 1 php file kan uploaden ben je natuurlijk helemaal binnen. Punt is dat het lijkt of het wordt gebouwd want als je er snel bij bent dan vindt je maar een paar files. Wacht je een week dan kan je het wel vergeten.
Andere zaak dat mij opviel was dat voor zo ver ik heb gezien de database niet werd aangetast. Volgens mij is dat ook niet nodig en misschien ook wel beter dat je geen sporen achter laat in de database.
Als je kan zoeken in je script zou je moeten zoeken op base64, een gedeelte is altijd gecodeerd.

Wil je dit voorkomen dan moet je altijd zo min mogelijk plugins gebruiken en beste ook geen bekend thema en deze altijd up-to-date houden. Beter nog is custom code en hopen dat de jongens van WP snel werken.

De betroffen websites zijn niet van mij, ik heb helaas geen toegang. De weg via css is het niet. Volgens mij gebruiken ze een lek op die sites. Er worden daadwerkelijk files geplaatst.

Origineel gepost door Matthias Marin

De betroffen websites zijn niet van mij, ik heb helaas geen toegang. De weg via css is het niet. Volgens mij gebruiken ze een lek op die sites. Er worden daadwerkelijk files geplaatst.

Dat bedoelde ik ook, via een lek (server of gebruiker) toegang en dan de links via css niet zichtbaar aan gebruikerszijde plaatsen.

Dat zijn niet altijd WP sites en ook de server software verschilt.

Origineel gepost door Matthias Marin

De betroffen websites zijn niet van mij, ik heb helaas geen toegang. De weg via css is het niet. Volgens mij gebruiken ze een lek op die sites. Er worden daadwerkelijk files geplaatst.

Misschien mis ik iets, al heb ik het topic doorgenomen. Waarom houdt je je er mee bezig als het je websites niet zijn en je geen toegang hebt? Mail ze vriendelijk, benader de CEO's eventueel via Linkedin en laat het ze zelf oplossen.

Volgens mij wil de TS graag zelf ook op deze manier linkjes kunnen plaatsen ;)

Precies dit gehad in mijn portfolio op Strato hosting. Support niet bereikbaar, gewoon helemaal niet. Sites volledig gehad met in elke map additioneel geinstalleerde bestanden, zoals hier beschreven. Handmatig alles weggehaald, paar weken later weer t zelfde. Dus nu alle WP sites (:-() verwijderd rigoureus en alleen html pagina's. Lijkt nu goed te gaan, maar t knaagt... Hoe kan ik controleren of er ergens nog schadelijke code staat? Wellicht wat off topic, mijn excuses dan alvast...

Origineel gepost door R. Laurier

Hoe kan ik controleren of er ergens nog schadelijke code staat?

Het best is niet te gaan zoeken want bestandsnamen zijn vaak typisch for een cms en zullen zeker niet hack.php heten ofzo.
Wat je het best kan doen is zorgen dat je alles op nieuw installeerd en alle wachtwoorden aanpast.

Je zou een oude back-up terug kunnen zetten maar dat is vaak niet zeker genoeg.
Verwijder alles en installeer alles opnieuw. Nieuwe verse WP, alle plugin opnieuw downloaden en installeren. Vervang je Salt, pas alle wachtwoorden aan, database, ftp, admin, enz enz enz en verwijder alle gebruikers die je niet vertrouwt en zorg dat zij een nieuw wachtwoord aanmaken.
Zorg voor een betere beveiliging via .htaccess bijvoorbeeld en code.

Verder kan je checken op base64 maar alleenenkele geinfecteerde bestanden zullen dit bevatten en hier vind je dus niet alle bestanden mee.

Hopelijk heb je hier iets aan.

Succes...

Dank je deels al gedaan, maar zal alles verwijderen en weer opnieuw opbouwen, ook aan de databases had ik niet gedacht. Dan kieper ik die ook weg. Dank voor t meedenken!

Origineel gepost door gast74241

Misschien mis ik iets, al heb ik het topic doorgenomen. Waarom houdt je je er mee bezig als het je websites niet zijn en je geen toegang hebt? Mail ze vriendelijk, benader de CEO's eventueel via Linkedin en laat het ze zelf oplossen.

Inderdaad, je mist iets, maar om je gerust te stellen, die mensen zijn gisteren en vandaag allemaal benaderd. Er is zelfs een abuse melding gedaan bij verschillende hostingpartijen.