Gehackte site (WordPress)

Hoe weet je of je site gehacked is?

• Berichten van je hosting provider
• Waarschuwingsscherm in Google Chrome
• Dubieuse gebruikersaccounts.
• Rare content
• Waarschuwingsemails van Wordfence
• Resultaten Wordfence-scan
• Check op Google mbv. site:example.com of er gekke dingen tussen staan.

Let op:

• Misschien is je site niet gehacked, maar een andere site op dezelfde server
• Misschien heb je iets te lang aan één stuk gewerkt. Neem 'n pauze en verifiëer het nog een keer.

Oorzaak achterhalen

• Access-logs analyseren [1] - Heel interessant!

Opschonen

• Zie schermafdrukken Wordfence voor ideeën
• Zie Find (Linux) hoe je recursief bv. php-bestanden verwijdert
• Check .htaccess-bestanden.

Gehackte plugins opschonen

WordFence heeft hier een goede rapportage over + uitleg via link (zie bronnen). Aanpak: Verwijder de verdachte plugins, en installeer ze opnieuw via CLI of met copy-paste vanuit een niet-besmette WordPress-instantie. Ik heb ook goede ervaringen met het verwijderen/vervangen van de specifiek genoemde bestanden

Chrome waarschuwingsscherm opgedaan maken

• Zie elders op deze wiki
• Submit site to Google Search? - https://www.google.nl/search?q=google+submit+url

Casus lente 2018

Kort na elkaar meerdere sites die gehacked waren, terwijl ze qua onderhoud helemaal bij waren!

Hier begint het mee. De site heeft overigens niets met js.localstorage.tk te maken

Wordfence meldde dat er van buiten WordPress een admin-account is aangemaakt. Dat krijgt een vervolg!

Andere site, vergelijkbare situatie

Indrukwekkend hoe Wordfence de problemen vaststelt

En dit is de andere site - Paar verschillen

Geüploade php-bestanden zijn van gebruiker www-data (=webserver)

Vermoedelijke oorzaak

• Precieze oorzaak onbekend. Naar ik aanneem, een niet-bijgewerkte plugin of theme
• In het bijzonder vermoed ik Hoshi, omdat daar diverse vreemde bestanden stonden.

Casus: Vreemde bestanden in root? (jan. 2019

De root-map van een gewone WordPress-installatie

De root-map van een WordPress-installatie die er niet gewoon uitziet. Ik denk dat ik ooit per ongeluk de bestanden van een plugin hier heb geplaatst (js_composer om precies te zijn), maar ik weet het niet zeker. Plus dat de inhoud van vc_classmap_json_php er nogal obfuscated uitziet → Nope: Die ziet er altijd zo gestoort uit

Oplossing: Verdachte bestanden verwijderd en gecontroleerd dat de site nog steeds werkt

En nog een laatste keer zoeken op verdachte PHP-bestanden (vanuit de root van de installatie):

find -name "*.php" | more

Zie ook

• Find (Linux)
• Gehackte site of server

Bronnen

• https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/ - Goed!
• http://crimesofthecenturies.com/index.php/2017/12/17/beware-wp-service-controller/
• https://blog.sucuri.net/2015/08/ask-sucuri-how-did-my-wordpress-website-get-hacked-a-tutorial.html
• https://cyberwarzone.com/2016/12/18/just-found-administrator-site-kicked/ - Handig!