Aanhoudende Brute Force Attacks & Backdoor Scripts
-
Sinds begin augustus wordt onze website geteisterd door backdoor-scripts. Een kleine week daarvoor ben ik overgestapt op een nieuw thema; Retropress van smthemes.com. Het thema heb ik van hun eigen website gedownload en daarna cosmetisch heb verbouwd.
Inmiddels om de 2 a 3 dagen worden er 1000 mails verstuurd via een door mij niet actief in gebruik zijnde email-user.
De website is beveiligd met iThemes Security en Sucuri Security. Daarnaast gebruik ik de plugin Anti-Malware from GOTMLS.NET. Deze laatste laat ik (inmiddels bijna dagelijks) scannen en krijg dan meerdere geïnfecteerde bestanden die gelukkig gefixt kunnen worden. Maar inmiddels zijn er 79 bestanden in quarantaine gezet.
Als ik de logs bekijk zie ik meerdere keren “New file added: (multiple entries):” en “File modified: (multiple entries):” voorbij komen in de logs van Sucuri Security. Hieraan zie ik dus dat er ook inderdaad files worden toegevoegd en bewerkt. Dit gebeurd door user: system en door ip: ::1. De backdoor-scripts zitten voornamelijk in wp-content, wp-admin/css/ en wp-includes.
Elke dag krijg ik meerdere keren de melding met “User authentication failed: dafcoupe”. EDIT: Ik zie net dat er sinds 3 september niet meer is geprobeerd om in te loggen, EINDELIJK!
Vanmorgen kwam ik erachter dat ook een andere site van mij een redirect link had naar een game-pagina. Nadat ik de update van WordPress had geïnstalleerd was er niks meer aan de hand. Heel vreemd…
Even ter info: ik probeer zo veilig mogelijk te werken en gebruik voor alle accounts die ik online heb allemaal verschillende en zeer moeilijke wachtwoorden die ik laat genereren door LastPass. Dus ook voor FTP/WordPress/DirectAdmin allemaal verschillende wachtwoorden. FileZilla is mijn standaard FTP programma die ik elke keer bij het opstarten van het programma de updates laat installeren. Ook is mijn computer altijd up-to-date met de nieuwste virusdefinities en heb ik alle andere programma’s up-to-date. Daarnaast werk ik altijd alle WordPress installaties bij zodra er een nieuwe versie is of WordPress doet het zelfs automatisch. Ook de plugins en themes werk ik netjes (sowieso maandelijks) bij.
Ik weet niet hoeveel veiliger ik nog kan werken maar voor mijn gevoel doe ik er alles aan om dit soort problemen te voorkomen.Kan iemand mij helpen bij dit verschrikkelijke probleem? Ik ben met gemak radeloos…
Logs en andere benodigde bestanden en informatie kan ik plaatsen indien nodig.
- Het onderwerp ‘Aanhoudende Brute Force Attacks & Backdoor Scripts’ is gesloten voor nieuwe reacties.