Ondersteuning » Algemeen WordPress » Aanhoudende Brute Force Attacks & Backdoor Scripts

  • Sinds begin augustus wordt onze website geteisterd door backdoor-scripts. Een kleine week daarvoor ben ik overgestapt op een nieuw thema; Retropress van smthemes.com. Het thema heb ik van hun eigen website gedownload en daarna cosmetisch heb verbouwd.

    Inmiddels om de 2 a 3 dagen worden er 1000 mails verstuurd via een door mij niet actief in gebruik zijnde email-user.

    De website is beveiligd met iThemes Security en Sucuri Security. Daarnaast gebruik ik de plugin Anti-Malware from GOTMLS.NET. Deze laatste laat ik (inmiddels bijna dagelijks) scannen en krijg dan meerdere geïnfecteerde bestanden die gelukkig gefixt kunnen worden. Maar inmiddels zijn er 79 bestanden in quarantaine gezet.

    Als ik de logs bekijk zie ik meerdere keren “New file added: (multiple entries):” en “File modified: (multiple entries):” voorbij komen in de logs van Sucuri Security. Hieraan zie ik dus dat er ook inderdaad files worden toegevoegd en bewerkt. Dit gebeurd door user: system en door ip: ::1. De backdoor-scripts zitten voornamelijk in wp-content, wp-admin/css/ en wp-includes.

    Elke dag krijg ik meerdere keren de melding met “User authentication failed: dafcoupe”. EDIT: Ik zie net dat er sinds 3 september niet meer is geprobeerd om in te loggen, EINDELIJK!

    Vanmorgen kwam ik erachter dat ook een andere site van mij een redirect link had naar een game-pagina. Nadat ik de update van WordPress had geïnstalleerd was er niks meer aan de hand. Heel vreemd…

    Even ter info: ik probeer zo veilig mogelijk te werken en gebruik voor alle accounts die ik online heb allemaal verschillende en zeer moeilijke wachtwoorden die ik laat genereren door LastPass. Dus ook voor FTP/WordPress/DirectAdmin allemaal verschillende wachtwoorden. FileZilla is mijn standaard FTP programma die ik elke keer bij het opstarten van het programma de updates laat installeren. Ook is mijn computer altijd up-to-date met de nieuwste virusdefinities en heb ik alle andere programma’s up-to-date. Daarnaast werk ik altijd alle WordPress installaties bij zodra er een nieuwe versie is of WordPress doet het zelfs automatisch. Ook de plugins en themes werk ik netjes (sowieso maandelijks) bij.
    Ik weet niet hoeveel veiliger ik nog kan werken maar voor mijn gevoel doe ik er alles aan om dit soort problemen te voorkomen.

    Kan iemand mij helpen bij dit verschrikkelijke probleem? Ik ben met gemak radeloos…

    Logs en andere benodigde bestanden en informatie kan ik plaatsen indien nodig.

1 reactie aan het bekijken (van in totaal 1)
  • Ik maak 7 dagen per week websites schoon waarna ik ze beveilig.

    Enkele feiten;

    1. Het gebruiken van 3 beveiligings plugins is als het hebben van 3 sloten op een deur, een inbreker die al binnen is loopt zo weer naar buiten en naar binnen met de sleutel (backdoor).
    De plugins doen nagenoeg hetzelfde. Securi heeft alleen wel een hele goede scanner en laat zien welke scripts er geladen worden.
    Ithemes security is de beste (mits juist geconfigureerd!!) laat die zoal altijd staan.

    2. Met 1 regel code waarbij geen gebruik wordt gemaakt van base64 of eval functie komt een hackbot binnen en deze code wordt vaak niet gezien door de scanners.

    3. Als een plugin lek is heeft een beveiligings plugin weinig te vertellen. Als zogenaamde “eigenaars-rol” kan een plugin van binnenuit altijd nog bestanden neerzetten en aanpassen.

    Dit wetende kun je zonder programmeur/serverbeheerder te zijn eigenlijk nooit zorgen voor een 100% waterdichte WordPress website.

    Ik heb deze week een aantal websites schoongemaakt en beveiligigd. En als je ziet waar die bestanden allemaal zaten.. daar had een gewone WordPress gebruiker nooit uitgekomen.

    Wat je minimaal moet doen om de site clean te krijgen:

    Let op: Eerst een backup maken van alle bestanden en de database!!

    1. De WordPress core bestanden opnieuw uploaden. (eerst de oude verwijderen. Let op laat de wp-config, htaccess en wp-content map staan en spit die grondig door op re-directs en modificaties)

    2. Met een editor programma door alle bestanden lopen op backdoors. Ik doe dit met enkele zoekfuncties met specifieke zoekopdrachten.

    3. Alle plugins opnieuw erop zetten. dan zijn alle files eruit en is je site weer up-to-date.

    4. de database doorspitten

    5. Alle wachtwoorden aanpassen. De FTP, database en ook in wp-config. Gebruikers wachtwoorden aanpassen.

    6. Checken bij de wpscan exploits database of recente plugins geen lekken hebben. Desnoods die plugins niet meer gebruiken of vervangen door alternatieven.

    7. Bestsndsrechten van de wp-config, htacces en themebestanden als “onschrijfbaar” zetten.

    8. Als je deze 7 stapen hebt doorlopen ben je goed op weg naat een veilige WordPress website.
    Maar hierna zijn er nog 25+ programmatische stappen die je eigenlijk moet doorlopen. Dan pas weet je dat de website echt dicht is. Die zijn alleen te ingewikkeld om zo even 1-2-3 uit te leggen.

    Als je op mijn naam klikt kom je op wpbeveiligen.nl waar ik nog 50+ artikelen met tips en informatie heb geschreven.

1 reactie aan het bekijken (van in totaal 1)
  • Het onderwerp ‘Aanhoudende Brute Force Attacks & Backdoor Scripts’ is gesloten voor nieuwe reacties.