Het valt me op dat verschillende Wordpress websites ineens een openbaar dashboard lijken te hebben met opties als:
PHP-SHELL HUNTER
PORTSCAN
CPANEL / PASSWORD FINDER
MASS CODE INJECTOR
FIND SQL CREDENTIALS
BRUTEFORCE / DICTIONARY ATTACK
Dit bestandje staat ineens in een aantal Wordpress sites in een hostingpakket van me. Iemand een idee hoe dit er komt, wat het kan en hoe ik er vanaf kom?
- Wordpress hack?
-
05-02-2024, 10:29 #1Particulier
- Berichten
- 154
- Lid sinds
- 13 Jaar
Wordpress hack?
Laatst aangepast door markh : 05-02-2024 om 10:39
-
05-02-2024, 10:58 #2Bosman ICT Services
- Berichten
- 4.939
- Lid sinds
- 17 Jaar
Re: Wordpress hack?
Wat je beschrijft, wijst sterk op een beveiligingsinbreuk waarbij je WordPress websites gecompromitteerd zijn door hackers of kwaadwillende partijen. Deze hebben blijkbaar een webshell of een soortgelijk kwaadaardig script op je sites geïnstalleerd waarmee ze verdere aanvallen kunnen uitvoeren, zoals:
- PHP-Shell Hunter: Een tool om webshells te vinden en uit te voeren op de server.
- Portscan: Scannen van open poorten op de server om kwetsbaarheden te identificeren.
- cPanel / Password Finder: Proberen toegang te krijgen tot het cPanel of wachtwoorden te vinden.
- Mass Code Injector: Scripts of kwaadaardige code injecteren in bestanden op de server.
- Find SQL Credentials: Zoeken naar databasegegevens voor ongeautoriseerde toegang.
- Bruteforce / Dictionary Attack: Automatisch wachtwoorden raden om toegang te krijgen tot beveiligde gebieden.
Hoe het er komt:
Dit soort malware kan op verschillende manieren op je websites terechtkomen, waaronder maar niet beperkt tot kwetsbaarheden in plugins of thema's, zwakke wachtwoorden, of een gecompromitteerd beheerdersaccount.
Wat het kan:
Deze tools kunnen door aanvallers gebruikt worden om volledige controle over je hostingomgeving te krijgen, verdere malware te verspreiden, gevoelige informatie te stelen, en zelfs je server te gebruiken voor illegale activiteiten zoals het versturen van spam of het uitvoeren van DDoS-aanvallen.
Hoe je ervan afkomt:
Het opruimen na een hack en het herstellen van je websites vereist een zorgvuldige aanpak:
- Maak een volledige back-up: Voordat je begint met het opruimen, maak een back-up van je hele account (websites, databases, e-mails). Hoewel je mogelijk kwaadaardige bestanden back-upt, zorg je ervoor dat je geen gegevens verliest tijdens het schoonmaakproces.
- Scan op malware: Gebruik beveiligingsplugins zoals Wordfence, Sucuri, of een dienst van een derde partij om je websites te scannen op bekende malware en kwetsbaarheden.
- Verwijder kwaadaardige bestanden: Handmatig of met behulp van de scanner, verwijder alle geïdentificeerde kwaadaardige bestanden en scripts.
- Update alles: Zorg ervoor dat je WordPress core, alle plugins, en thema's up-to-date zijn. Verwijder ongebruikte plugins en thema's.
- Verander wachtwoorden: Verander alle wachtwoorden, inclusief die van WordPress gebruikersaccounts, databases, en cPanel/hostingaccount.
- Controleer gebruikers: Verwijder onbekende of ongeautoriseerde gebruikersaccounts.
- Herinstalleer WordPress: Overweeg om WordPress, thema's en plugins opnieuw te installeren vanuit schone, officiële bronnen om zeker te zijn dat er geen verborgen backdoors achterblijven.
- Harden WordPress: Volg best practices om je WordPress installatie te verharden, zoals het beperken van bestandsbewerkingen, het uitschakelen van PHP-uitvoering in bepaalde mappen, en het installeren van een webapplicatie firewall.
- Schakel een expert in: Als je niet zeker bent over het opruimproces of als je website blijvend gecompromitteerd lijkt, overweeg dan een professionele schoonmaakservice in te schakelen.
- Monitor je site: Blijf je website actief monitoren op ongewone activiteiten of bestanden.
Het is cruciaal om te begrijpen dat het opruimen na een hack slechts het begin is. Het versterken van de beveiliging van je website om toekomstige aanvallen te voorkomen is een voortdurend proces.
Bron: ChatGPT
-
05-02-2024, 12:15 #3Particulier
- Berichten
- 154
- Lid sinds
- 13 Jaar
Re: Wordpress hack?
Andere mensen deze specifieke hack wel eens ervaren? Hoe zijn jullie ervanaf gekomen?
Er worden ook allerlei random documentjes op de server gezet (index.php, admin.php, about.php) die Wordfence plugin uitzetten, de foldernaam van die plugin veranderen en PHP errors uitzetten. Er lijkt dus wel wat mis te zijn!
-
05-02-2024, 13:24 #4
- Berichten
- 1.269
- Lid sinds
- 16 Jaar
Re: Wordpress hack?
Het valt me op dat verschillende Wordpress websites ineens een openbaar dashboard lijken te hebben met opties als:
PHP-SHELL HUNTER
PORTSCAN
CPANEL / PASSWORD FINDER
MASS CODE INJECTOR
FIND SQL CREDENTIALS
BRUTEFORCE / DICTIONARY ATTACK
Dit bestandje staat ineens in een aantal Wordpress sites in een hostingpakket van me. Iemand een idee hoe dit er komt, wat het kan en hoe ik er vanaf kom?
Andere mensen deze specifieke hack wel eens ervaren? Hoe zijn jullie ervanaf gekomen?
Er worden ook allerlei random documentjes op de server gezet (index.php, admin.php, about.php) die Wordfence plugin uitzetten, de foldernaam van die plugin veranderen en PHP errors uitzetten. Er lijkt dus wel wat mis te zijn!
Wat ik zou doen, maar er zijn ook andere methoden mogelijk, is alles verwijderen. Complete account verwijderen.
Want je database(s) is/zijn ook besmet. Ook al verwijder je alle bestanden en update je alles, dan kunnen ze vaak toch nog binnen komen.
Maak eerst een goede backup (heb je wellicht niets aan, kun je altijd nog ergens neerzetten om posts, afbeeldingen, etc. te achterhalen) EN exporteer bijvoorbeeld voor iedere website via tools - je berichten, afbeeldingen, etc.
Dan zou ik een goede backup van voor de hack terugzetten en alles opnieuw opzetten.
-
05-02-2024, 16:24 #5
- Berichten
- 519
- Lid sinds
- 15 Jaar
Re: Wordpress hack?
Ik lees vaak dat mensen goede ervaring met Mathieu Schol hebben. Hij is ook een gebruiker op SiteDeals. Ik ken hem zelf niet, maar misschien dat hem contacten meer oplevert dan een antwoord van ChatGPT?
-
05-02-2024, 18:53 #6
- Berichten
- 75
- Lid sinds
- 5 Jaar
Re: Wordpress hack?
Ik had hiervoor een plugin, die scant dit allemaal en ruimt dit ook op. Zal eens even bekijken of het kan vinden, maar ik zal per direct je Wordpress eerst updaten. Meestal komen beveilingslekken voor uit oude Wordpress of nulled Thema's of plugins download.
-
05-02-2024, 19:50 #7
- Berichten
- 393
- Lid sinds
- 16 Jaar
Re: Wordpress hack?
Het gebeurt regelmatig het is redelijk irritant, maar de user friendlyness van WordPress is toch wel een ding voor de meesten.
Beste is om na een hack altijd eerst alle bestand behalve wp-content folder en config bestand te laten. Die 2 mappen wel scannen eventueel met Linux virusssanner of handmatig. En dan nieuwe schone bestanden weer op te zetten.
Hoop dat je eruit komt ! Zo niet, pm mij.
-
06-02-2024, 23:03 #8Weekend Media
- Berichten
- 279
- Lid sinds
- 13 Jaar
Re: Wordpress hack?
Ik had een netwerk van 100 wordpress websites welke ik allemaal opnieuw heb moeten opbouwen. De hack zat overal. Toen alles opnieuw opgebouwd met WordFence en allemaal op een aparte reseller zodat ze elkaar niet meer konden infecteren. Veel succes..
-
07-02-2024, 08:49 #9Webblish Content & Publishing
- Berichten
- 5.633
- Lid sinds
- 17 Jaar
Re: Wordpress hack?
Het gebeurt regelmatig het is redelijk irritant, maar de user friendlyness van WordPress is toch wel een ding voor de meesten.
Beste is om na een hack altijd eerst alle bestand behalve wp-content folder en config bestand te laten. Die 2 mappen wel scannen eventueel met Linux virusssanner of handmatig. En dan nieuwe schone bestanden weer op te zetten.
Hoop dat je eruit komt ! Zo niet, pm mij.
-
07-02-2024, 11:51 #10
- Berichten
- 156
- Lid sinds
- 4 Jaar
Re: Wordpress hack?
Dit is de reden waarom ik overgestapt ben naar CloudWays, dan maar iets meer maandelijks betalen maar wel veilig.
Gelukkig geen 100 sites maar 20 sites in mijn geval.
-
07-02-2024, 12:58 #11
- Berichten
- 1.269
- Lid sinds
- 16 Jaar
Re: Wordpress hack?
Staan de sites ieders apart in een eigen container of bij elkaar in 1 account?
-
07-02-2024, 13:59 #12Bosman ICT Services
- Berichten
- 4.939
- Lid sinds
- 17 Jaar
Re: Wordpress hack?
Ook als je geen CMS gebruikt. Kom regelmatig scripts tegen op PHP 5.6, ook daarmee kun je flink de mist in gaan als je deze niet update.
Met andere woorden, updaten, updaten, updaten ;)
-
07-02-2024, 14:25 #13Webblish Content & Publishing
- Berichten
- 5.633
- Lid sinds
- 17 Jaar
-
07-02-2024, 14:35 #14
- Berichten
- 393
- Lid sinds
- 16 Jaar
Re: Wordpress hack?
Of alle posts/pagina's exporteren, de instellingen van het theme en de plugins exporteren en dat gebruiken om de website helemaal opnieuw op te zetten. Je begint het liefst met een schone database, dus maak ook een nieuwe database aan. Het spreekt voor zich dat je de hosting/FTP-gegevens verandert, nooit (meer) de username admin gebruikt en dat je de inlogpagina (.../wp-login.php) onvindbaar maakt.
-
08-02-2024, 08:24 #15Particulier
- Berichten
- 154
- Lid sinds
- 13 Jaar
Re: Wordpress hack?
Dank voor alle tips en adviezen!
- reseller pakket klinkt als een goede om te voorkomen dat 1 rotte site alle andere doet besmetten
- inlogpagina (.../wp-login.php) onvindbaar maken --> Hoe kan dat op een goede manier?
- map/bestandrechten --> is dit verstandig aan te passen?
- opnieuw installeren beste optie --> WordFence instellen, wachtwoorden aanpassen (FTP, database, Wordpress login, hosting account) en alle rotzooimappen en scripts verwijderen is niet voldoende en nog steeds een risico?
Nieuw inzicht van de hack:
Blijkbaar was er een "spam" script dat "gravityforms" mappen aanmaakte. Die map bevatte op een heel diep niveau een paar scripts die rotzooiden in de website (eval() functie?). Die gravityforms map bevatte echter 8 andere mappen, telkens "a", "b", "c" etc. En die mappen bevatten op hun beurt weer "a", "b", "c" etc.
Uiteindelijk kwam het dus op vele duizenden mappen neer, bijv.:
- site.nl/wp-content/gravityforms/d/a/b/b/e/....script.php
De rechten van alle mappen en de sceripts in die mappen waren zo ingesteld dat ik ze niet zomaar kon verwijderen of aanpassen. Daarvoor moesten eerst alle duizenden mappen worden geüpdatet naar 755 rechten en dan pas kon ik ze verwijderen. Gelukkig kon het in Filezilla in bulk, maar het verwijderen van die paar scripts kostte daardoor veel tijd.
Plaats een
- + Advertentie
- + Onderwerp
Marktplaats
Webmasterforum
- Websites algemeen
- Sitechecks
- Marketing
- Domeinen algemeen
- Waardebepaling
- CMS
- Wordpress
- Joomla
- Magento
- Google algemeen
- SEO
- Analytics
- Adsense
- Adwords
- HTML / XHTML
- CSS
- Programmeren
- PHP
- Javascript
- JQuery
- MySQL
- Ondernemen algemeen
- Belastingen
- Juridisch
- Grafisch ontwerp
- Hosting Algemeen
- Hardware Info
- Offtopic