Support Volgende » Algemene WordPress vragen Volgende » Malware wel erg mal

  • Zouden de echt slimme WP’ers wakker willen worden en samen met mij deze malle malware meehelpen aan te vallen.

    Het begon 10 dagen geleden. Er verscheen na aanklikken van een willekeurige link een popup die leidde naar een rad van fortuin. Na 10 dagen is dat een verkoop site voor de iPhone 9. Het virus bevatte Russische taal. Van de TV begreep ik dat ze momenteel vanuit Nederland opereren. In mijn backup zit helaas de virus.

    Wat vond ik in het script:
    Een hoop extra plugins met aansduidingen als supervirusscan enz. Al die zaken heb ik eruit gehaald. De malware scans van Sucuri en Quttera gebruikt en alle door hen aangegeven files eruit gehaald of vanaf een andere schone site vervangen/gekopieerd. Wordfence gemonteerd.

    Ik was apetrots dat ik die Russen te pakken had. En ja helaas .. na 5 dagen was het weer terug. Volgens Wordfence hoefde ik maar één file te vervangen. Dat klopte en weer was het virus weg.

    Na 10 dagen is het toch weer terug. Maar veranderd. Quttera geeft steeds clean aan, heb je dus niets aan. Sucuri geeft een deel aan. Zo ook Wordfence. Eigenlijk onvoldoende!! Heb offerte aangevraagd om het verwijderen en … geen tijd, geen zin of erg veel geld en garantie??.

    Dus daar sta ik dan.

    De malware heeft dus ergens een ingang met eigen inlog, die ik niet kan vinden. Waar moet ik zoeken??

    Feiten in de tijd:
    Het begon met

    wp-includes/js/jquery-migrate.min.js eruit gehaald

    wp-includes/js/jquery/jquery.js copy van schone site

    wp-includes/wpspl-load-compat.php eruit

    wp-includes/wp-scachetop.php eruit

    wp-includes/wp-sclouds.php eruit

    wp-includes/wpclan-rss.php eruit

    wp-includes/wpspl-load-compat.php eruit

    Na 5 dagen:

    wp-includes/js/jquery/jquery.js copy van schone site

    Na 10 dagen:

    wp-content/wp-scache.php eruit gehaald

    wp-content/objects-cache.php eruit

    wp-content/wp-scsys.php eruit

    wp-includes/js/wp-embed.min.js copy van schone site

    Mag verwachten dat ie binnenkort weer actief is. Het probleem en oplossing: waar komt ie binnen? Hoe te doen? (Natuurlijk heb ik steeds mijn wachtwoord veranderd.)

    Groetjes
    Loek

    • Dit onderwerp is gewijzigd 3 maanden, 3 weken geleden door  Loek11.

    De pagina waar ik hulp bij nodig heb: [log in om de link te zien]

12 reacties aan het bekijken - 1 tot 12 (van in totaal 12)
  • Om iets extra’s te laten zien: een paar foute files heb ik voor de liefhebber.

    • Deze reactie is gewijzigd 3 maanden, 3 weken geleden door  Loek11.

    Beste @loek,

    Ik kan je wel helpen met het verwijderen van deze malware.
    Mocht je hulp nodig hebben dan kun je mij mailen via mijn website (ben oud WordPress webdeveloper, mocht je je afvragen waarom ik een beveiligingswebsite sturen)

    Met vriendelijke groet.

    • Deze reactie is gewijzigd 2 weken, 3 dagen geleden door  Richard van Denderen. Reden: Dit is niet de plek om je diensten te verkopen

    Beste Loek, ik heb net hetzelfde probleem. Malware, backdoors, … Ik heb sucuri en Wordfence draaien. Deze geven telkens aan wat er moet gewijzigd worden of welke files mogen verwijderd worden, maar verschillende keren per dag komen er nieuwe files, nieuwe code inserts enz. Er worden directories op de root geïnstalleerd met malware files. Ik weet ze telkens te vinden, maar soms een uur later staan er al opnieuw. Ik kan maar niet vinden hoe ze kunnen binnen geraken. Alle toegang van alle buitenlandse sites is al geblokkeerd. Enkel .be en zoekmachines zijn toegelaten. Maar toch heeft iemand toegang.
    Heeft iemand enig idee hoe dit kan gestopt worden ?

    Misschien je gebruikers-naam en wachtwoord wijzigen? 🙂

    Wachtwoord is al ettelijke keren gewijzigd en is two factor authentication. Dus zonder mijn telefoon kan je niet inloggen.
    Er wordt telkens een directory STATUS toegevoegd met een subdirectory invoice en daarin een file index.php waarin een hele hoop code staat.
    Als ik deze verwijder staat er gemiddeld zo’n 10 min later alles opnieuw. De files worden aangemaakt met mijzelf als eigenaar.
    Ik heb het nu voorlopig opgelost door de code uit de file te halen, de files te laten staan en de gebruikersrechten aan te passen zodat er geen toegang meer is. Dit werkt voorlopig wel, maar ik zou toch wel willen te weten komen waar het vandaan komt.

    Ze werken zoals vroeger al. Eerst goed bijhouden wat ze doen en laat je niet in de maling nemen, niet door de viruszetters en ook niet door de verwijderaars. Weet dat ze werken met een javascript ergens op een tekstfile. Steeds als je iets verwijdert zet het javascript ze weer terug. Ok. Dan nu aan de slag.

    Doorzoek eerst de plugins die je al hebt. Zijn ze allemaal van jou? Ik verwacht van niet. Gooi de onbekenden eruit. Staan er nieuwe tekstfiles bij? Ook eruit. Bij mij hadden ze namen als top security en zo. Dan denk je er misschien te zijn. Natuurlijk niet, want ze wisten al dat je dit ging doen. Kijk vervolgens bij administator. Ben jij de enige?

    Heb je een 2e wp site? Kun je deze ernaast houden om te zien wat er niet in hoort. Ok? Misschien lukt het nu wel. Dan nu de laatste. Download zo veel mogelijk malware scans plugins. Ik had er 5 of 6. En laat ze steeds draaien. De meesten wo wordfence gaven aan dat alles schoon was. Nee dus! Maar na veel scans kwamen er toch streeds nieuwe foute files boven. En zo lukte het mij om ze eruit te krijgen.

    Adviezen als met backup alles terugzetten werken niet. Je weet niet of de virus er al inzat en de backup overschrijft de bestaande files. De virus zijn extra files. Dit geldt ook voor de updates van wp. Laatste …. houd je centen in je zak. De overwinning is zoet. En onvoorstelbaar hoeveel schade ze toebrengen voor een dubbeltje verdienste. Laat even weten hoe het is gegaan, kunnen anderen van leren

    Alvast dank voor al de tips Loek. Ik ben vollop bezig met zoeken naar rare files. Helaas heb ik geen tweede wp site meer. Deze zaten allemaal vol met malware. Ik heb er alles afgehaald en nu nog slechts 1 over gehouden.
    Ondertussen wel al enkele van die dingen gevonden, o.a. een .php file tussen de logs.

    Ik zoek verder, want ik denk niet dat ik alles heb gehad. Het is een oneindige lijst files.

    Ik hou je op de hoogte.

    Wel zoveel mogelijk scan plugins en externe scanners downloaden en gebruiken. Zij doen het werk. Succes

    Gevonden !

    Die scan plugins waren geen groot succes.

    Ze hadden een ftp toegang gecreëerd en username en paswoord in een file tussen de logs verborgen. Hoe het allemaal werkt, geen idee, maar sinds die file weg is heb ik geen probleem meer. De file was alleen te herkennen omdat het een .php file was tussen de logs.

    Hopelijk blijft het nu zo.

12 reacties aan het bekijken - 1 tot 12 (van in totaal 12)