Ondersteuning » Algemeen WordPress » Site hack

Site hack

  • rozo85

    (@rozo85)


    5 jaren, 6 maanden geleden

    Op onze site hebben we een aantal problemen die hieronder worden beschreven:
    Er is eenhack geweest waarmee een illegaal forum op de site werde gedraaid.

    Wat heb ik tot dusver gedaan?
    A. Telkens als illegale files opduiken worden ze verwijderd.
    B. De hele site is opgeschoond en alle files zijn vervangen door files van een originele WordPress installatie file (excl de config file).
    C. Alle overbodige dirs en files zijn verwijderd (zelfs teveel, ik ben een aantal PDF’s kwijt)
    D. De illegale directory die werd gebruikt voor een illegaal forum is als eerste verwijderd.
    E. Met behulp van Sucuri zijn alle plugins opnieuw geinstalleerd.
    F. Alle user passwords zijn nu 1 x vervangen door betere mbv Sucuri
    G. Alle belangrijke beheers passwords zijn vervangen: direct admin, ftp, datbase en hoofduser van WordPress (de laatste ook de username)
    H. De gebruikers zijn gewaarschuwd dat hun email mogelijk gehackt is. Ik moet ze nog waarschuwen ook de wachtwoorden van andere sites te veranderen als ze daar dezelfde gebruikten.

    Op dit moment zijn er twee dingen die mij nog zorgen geven:
    1 In de toekomst opduikende illegale core files
    Dat gaan we nog zien
    2 Password retrieval pogingen die niet gedaan zijn door leden
    Voorbeelden van een sucuri melding:
    14:19 system Password retrieval attempt: bestaande username IP: 54.36.148.165
    14:19 system Password retrieval attempt: bestaande username IP: 54.36.148.165
    14:19 system Password retrieval attempt: bestaande username IP: 54.36.148.165

    Voorbeelden van de resulterende regels in use logfile:
    207.46.13.189 – – [18/Oct/2018:10:10:59 +0200] “GET /user/bestaande username/ HTTP/1.1” 200 94969 “-” “Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”
    40.77.167.4 – – [18/Oct/2018:10:20:12 +0200] “GET /user/bestaande username/ HTTP/1.1” 200 94945 “-” “Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”
    207.46.13.69 – – [18/Oct/2018:10:46:36 +0200] “GET /user/bestaande username/ HTTP/1.1” 200 94961 “-” “Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”

    Volgens mij krijgen deze bots een melding dat de inhoud niet door hen kan worden ingezien door de afscherming door ultimat member.

    Ik ben nu van plan alle users een andere gebruikersnaam en wachtwoord te geven. Als die dan ook worden gebruikt zit er iets/iemand in de database te rotzooien.

    Groet Rolf

    De pagina waar ik hulp bij nodig heb: [log in om de link te zien]

1 reactie aan het bekijken (van in totaal 1)
  • Bas

    (@basz85)

    5 jaren, 6 maanden geleden

    Beste Rolf,

    Vervelend dat jullie website een waarschijnlijke hack heeft gehad.

    Je hebt alle mogelijke zaken (op-)gevolgd en naar mijn weten is dit verder allemaal prima om uit te zoeken om de hack tegen te gaan. Tot het opschonen en om de password van FTP en over hun wachtwoorden te resetten. Wel goed dat jullie gebruikers op de hoogte zijn gebracht.

    Alleen wat ik niet echt terug vind, is ook over de huidige database. Is dit dezelfde database, van een huidige of eerder backup terugzetten?

    Kan je deze hackende IP niet bannen/blokkeren ergens?

    Tip: Installeer WordPress plugin WordFence, als je deze nog niet geinstalleerd hebt.

    Vriendelijke groet,
    Bas

1 reactie aan het bekijken (van in totaal 1)
  • Het onderwerp ‘Site hack’ is gesloten voor nieuwe reacties.

Onderwerptags

Weergaven