Site hack
-
Op onze site hebben we een aantal problemen die hieronder worden beschreven:
Er is eenhack geweest waarmee een illegaal forum op de site werde gedraaid.Wat heb ik tot dusver gedaan?
A. Telkens als illegale files opduiken worden ze verwijderd.
B. De hele site is opgeschoond en alle files zijn vervangen door files van een originele WordPress installatie file (excl de config file).
C. Alle overbodige dirs en files zijn verwijderd (zelfs teveel, ik ben een aantal PDF’s kwijt)
D. De illegale directory die werd gebruikt voor een illegaal forum is als eerste verwijderd.
E. Met behulp van Sucuri zijn alle plugins opnieuw geinstalleerd.
F. Alle user passwords zijn nu 1 x vervangen door betere mbv Sucuri
G. Alle belangrijke beheers passwords zijn vervangen: direct admin, ftp, datbase en hoofduser van WordPress (de laatste ook de username)
H. De gebruikers zijn gewaarschuwd dat hun email mogelijk gehackt is. Ik moet ze nog waarschuwen ook de wachtwoorden van andere sites te veranderen als ze daar dezelfde gebruikten.Op dit moment zijn er twee dingen die mij nog zorgen geven:
1 In de toekomst opduikende illegale core files
Dat gaan we nog zien
2 Password retrieval pogingen die niet gedaan zijn door leden
Voorbeelden van een sucuri melding:
14:19 system Password retrieval attempt: bestaande username IP: 54.36.148.165
14:19 system Password retrieval attempt: bestaande username IP: 54.36.148.165
14:19 system Password retrieval attempt: bestaande username IP: 54.36.148.165Voorbeelden van de resulterende regels in use logfile:
207.46.13.189 – – [18/Oct/2018:10:10:59 +0200] “GET /user/bestaande username/ HTTP/1.1” 200 94969 “-” “Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”
40.77.167.4 – – [18/Oct/2018:10:20:12 +0200] “GET /user/bestaande username/ HTTP/1.1” 200 94945 “-” “Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”
207.46.13.69 – – [18/Oct/2018:10:46:36 +0200] “GET /user/bestaande username/ HTTP/1.1” 200 94961 “-” “Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”Volgens mij krijgen deze bots een melding dat de inhoud niet door hen kan worden ingezien door de afscherming door ultimat member.
Ik ben nu van plan alle users een andere gebruikersnaam en wachtwoord te geven. Als die dan ook worden gebruikt zit er iets/iemand in de database te rotzooien.
Groet Rolf
De pagina waar ik hulp bij nodig heb: [log in om de link te zien]
- Het onderwerp ‘Site hack’ is gesloten voor nieuwe reacties.