Gehackte site (WordPress): verschil tussen versies
Naar navigatie springen
Naar zoeken springen
(9 tussenliggende versies door dezelfde gebruiker niet weergegeven) | |||
Regel 23: | Regel 23: | ||
* Zie [[Find (Linux)]] hoe je recursief bv. php-bestanden verwijdert | * Zie [[Find (Linux)]] hoe je recursief bv. php-bestanden verwijdert | ||
* Check <code>.htaccess</code>-bestanden. | * Check <code>.htaccess</code>-bestanden. | ||
+ | |||
+ | === Gehackte plugins opschonen === | ||
+ | |||
+ | {| | ||
+ | |[[file:20180827-2015.png|thumb|WordFence heeft hier een goede rapportage over + uitleg via link (zie bronnen). Aanpak: Verwijder de verdachte plugins, en installeer ze opnieuw via CLI of met copy-paste vanuit een niet-besmette WordPress-instantie. Ik heb ook goede ervaringen met het verwijderen/vervangen van de specifiek genoemde bestanden]] | ||
+ | |} | ||
== Chrome waarschuwingsscherm opgedaan maken == | == Chrome waarschuwingsscherm opgedaan maken == | ||
Regel 51: | Regel 57: | ||
* Precieze oorzaak onbekend. Naar ik aanneem, een niet-bijgewerkte plugin of theme | * Precieze oorzaak onbekend. Naar ik aanneem, een niet-bijgewerkte plugin of theme | ||
* In het bijzonder vermoed ik ''Hoshi'', omdat daar diverse vreemde bestanden stonden. | * In het bijzonder vermoed ik ''Hoshi'', omdat daar diverse vreemde bestanden stonden. | ||
+ | |||
+ | == Casus: Vreemde bestanden in root? (jan. 2019 == | ||
+ | |||
+ | {| | ||
+ | |[[file:20190130-1920.png|thumb|De root-map van een gewone WordPress-installatie]] | ||
+ | |[[file:20190130-1921.png|thumb|De root-map van een WordPress-installatie die er ''niet'' gewoon uitziet. Ik denk dat ik ooit per ongeluk de bestanden van een plugin hier heb geplaatst (js_composer om precies te zijn), maar ik weet het niet zeker. Plus dat de inhoud van vc_classmap_json_php er nogal ''obfuscated'' uitziet → Nope: Die ziet er altijd zo gestoort uit]] | ||
+ | |[[file:20190130-1922.png|thumb|Oplossing: Verdachte bestanden verwijderd en gecontroleerd dat de site nog steeds werkt]] | ||
+ | |} | ||
+ | |||
+ | En nog een laatste keer zoeken op verdachte PHP-bestanden (vanuit de root van de installatie): | ||
+ | |||
+ | <pre> | ||
+ | find -name "*.php" | more | ||
+ | </pre> | ||
== Zie ook == | == Zie ook == | ||
+ | * [[Find (Linux)]] | ||
* [[Gehackte site of server]] | * [[Gehackte site of server]] | ||
== Bronnen == | == Bronnen == | ||
− | * https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/ | + | * https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/ - Goed! |
* http://crimesofthecenturies.com/index.php/2017/12/17/beware-wp-service-controller/ | * http://crimesofthecenturies.com/index.php/2017/12/17/beware-wp-service-controller/ | ||
* https://blog.sucuri.net/2015/08/ask-sucuri-how-did-my-wordpress-website-get-hacked-a-tutorial.html | * https://blog.sucuri.net/2015/08/ask-sucuri-how-did-my-wordpress-website-get-hacked-a-tutorial.html | ||
* https://cyberwarzone.com/2016/12/18/just-found-administrator-site-kicked/ - Handig! | * https://cyberwarzone.com/2016/12/18/just-found-administrator-site-kicked/ - Handig! |
Huidige versie van 30 jan 2019 om 20:40
Hoe weet je of je site gehacked is?
- Berichten van je hosting provider
- Waarschuwingsscherm in Google Chrome
- Dubieuse gebruikersaccounts.
- Rare content
- Waarschuwingsemails van Wordfence
- Resultaten Wordfence-scan
- Check op Google mbv.
site:example.com
of er gekke dingen tussen staan.
Let op:
- Misschien is je site niet gehacked, maar een andere site op dezelfde server
- Misschien heb je iets te lang aan één stuk gewerkt. Neem 'n pauze en verifiëer het nog een keer.
Oorzaak achterhalen
- Access-logs analyseren [1] - Heel interessant!
Opschonen
- Zie schermafdrukken Wordfence voor ideeën
- Zie Find (Linux) hoe je recursief bv. php-bestanden verwijdert
- Check
.htaccess
-bestanden.
Gehackte plugins opschonen
Chrome waarschuwingsscherm opgedaan maken
- Zie elders op deze wiki
- Submit site to Google Search? - https://www.google.nl/search?q=google+submit+url
Casus lente 2018
Kort na elkaar meerdere sites die gehacked waren, terwijl ze qua onderhoud helemaal bij waren!
Vermoedelijke oorzaak
- Precieze oorzaak onbekend. Naar ik aanneem, een niet-bijgewerkte plugin of theme
- In het bijzonder vermoed ik Hoshi, omdat daar diverse vreemde bestanden stonden.
Casus: Vreemde bestanden in root? (jan. 2019
En nog een laatste keer zoeken op verdachte PHP-bestanden (vanuit de root van de installatie):
find -name "*.php" | more
Zie ook
Bronnen
- https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/ - Goed!
- http://crimesofthecenturies.com/index.php/2017/12/17/beware-wp-service-controller/
- https://blog.sucuri.net/2015/08/ask-sucuri-how-did-my-wordpress-website-get-hacked-a-tutorial.html
- https://cyberwarzone.com/2016/12/18/just-found-administrator-site-kicked/ - Handig!