Een opruiming van een gehackte site is meer dan even WordPress core opnieuw installeren. De database, alle mappen op de server, bestandsrechten, scripts, gebruikers … heel veel aspecten waar nog een achterpoortje open kan blijven na jouw ‘opruiming’. Mijn advies is er iemand met ervaring in het opruimen van WordPress sites op te zetten en die volledig te laten scannen en op punt zetten.
Je kunt hiervoor jobs.wordpress.net gebruiken als je iemand zoekt.
dank voor je antwoord!
ik kan de gehackte site wel herstellen met een goede backup, maar dat is gedoe natuurlijk
reacties/ mail etc is uitgeschakeld; plugin wordfence loopt mee, succuri ook
ik kan zelf wel eea, diverse php files doorzoeken/checken op checksum, database doorzoeken en kom dan na de hack een pingback tegen die in de homepage wordt geinjecteerd door iets/iemand
is er geen plek waar ik een soort van lijst van mogelijke backdoors kan vinden?
-
Deze reactie is gewijzigd 3 jaren, 3 maanden geleden door
wprobbie.
Hoe weet jij dat je een ‘goede’ back-up hebt? Voor het zelfde probleem is dat net je probleem, dat je ook steeds teruggaat naar een lekke installatie.
Als je homepage nog steeds kan aangepast worden, is er inderdaad nog steeds een backdoor. Een ‘lijstje’ bestaat niet. Kijk op het moment dat de hack plaatsvind naar je error en access logs om mogelijks een oorzaak te kunnen acterhalen, kijk grondig naar je thema en plugins of die allemaal nog recentelijk zijn bijgewerkt en zorg niet alleen voor een up to date WordPress installatie, maar kijk ook objectief naar je host. Draait je host een veilige apache versie, recente PHP versie, …
dank voor je reactie!
ik ga verder spitten na een nieuwe hack, ongebruikte thema verwijderen en de plugins verder bijwerken
de server kan ik niet zo goed beoordelen, dit zijn de data:
Server architecture Linux 4.18.0-240.1.1.el8_3.x86_64 x86_64
Web server Apache
PHP version 7.4.13 (Supports 64bit values)
PHP SAPI apache
PHP max input variables 3500
PHP time limit 180
PHP memory limit 256M
Max input time 60
Upload max filesize 256M
PHP post max size 256M
cURL version 7.61.1 OpenSSL/1.1.1i
Is SUHOSIN installed? Nee
Is the Imagick library available? Ja
Are pretty permalinks supported? Ja
.htaccess rules Custom rules have been added to your .htaccess file.
Dat lijkt best OK op het eerste zicht. Maar dus zoals gezegd zijn er zo veel verschillend aspecten en is elke hack en site anders, dus hier kunnen we niet elk puntje overlopen. Zoek vooral uit in de logs of je kunt achterhalen waar de hack kan ontstaan, kijk of er nergens in de post content nog scripts zijn toegevoegd of extra beheerder accounts zijn. Het kan door 1 kleine toevoeging ergens in je dataabse, posts, accounts, hosting accounts enzovoort, zo snel gebeuren. Overal veilige, lange en unieke paswoorden hebben voor alle onderdelen is ook belangrijk.
hi, ben er inmiddels achter uit de logs dat de hacker uit rusland komt en op een of andere manier een admin inlog kan doen
ik heb natuurlijk inlog veranderd etc.
iemand tips waar te zoeken in de corefiles?
Als je de core files herschrijft, moet je daar niets verder in zoeken, het heeft meestal te maken met bepaalde lekken in outdated code van thema’s en plugins. Zonder je site grondig te kunnen uitspitten kunnen we daar weinig hier over vertellen. Kijk dus grondig naar plugins en thema’s en kijk of ze nog frequent worden bijgewerkt, kijk naar de user accounts die er nu op staan, verander database paswoorden, user paswoorden, SALTS in wp-config.php, …
Blijft het aanhouden, dan geldt mijn eerste advies nog steeds.
hi
dank maar weer, ik heb je adviezen gevolgd
alles geupdated, oude zooi verwijderd, passwords etc veranderd, nog even in de mysql gezocht
ben benieuwd, fingers crossed
update: het lijkt er op dat de site nu dicht zit
ik heb sterk de indruk dat het probleem zat in het hier verouderde thema 20-10
ben wel verbaasd hoeveel ip’s wordfence registreert als aanvaller, die block ik zoveel mogelijk als permanent
dank voor jullie hulp!
-
Deze reactie is gewijzigd 3 jaren, 3 maanden geleden door wprobbie.
Je bedoelt TwentyTen? Zou mij sterk verbazen dat het in het thema zelf zit want die wordt nog steeds bijgewerkt als dat nodig blijkt voor nieuwe WP versies. Het kan altijd zijn dat tijdens de hack de thema bestanden aangetast werden, maar ik vermoed niet dat het thema de oorzaak is.
dank voor je antwoord!
mijn thema bestanden waren heel oud…. in de downloadpakketjes vanaf 2016 etc zat twenty-ten niet meer standaard,
na hand-update thema is het hier nog stil, maar het kan natuurlijk in iets anders gezeten hebben zoals jij schrijft
ik heb ook 1 oude plugin (user specific content) vervangen door een andere meer recente, misschien was dat t probleem
ik snap dat het lastig is te vinden achteraf; zou fijn zijn als er ergens een soort van checklist is die je kunt afwerken bij een hack
wat ik heb gedaan:
-website en database gedownload met ftp en hostingpanel om in te zoeken
-eerst gezocht naar de oorzaak van de veranderde pingback op de homepage en het doeladres gezocht in mysql en verwijderd
-gezocht waar de pingback code geïnjecteerd werd, was lastig want pingback komt in veel bestanden voor, css, php etc., geen oplossing gevonden
-gezocht middels ipadres hacker,russisch, in mysql: vond alleen logbestand met dat adres; adres geblokkeerd
uiteindelijk geen resultaat gevonden, website bleef lek
daarna :
– eerst bestaande website en datbase gebackupt, dat bleek wel nodig want de website werd een paar keer kapotgemaakt onderweg
– mijn eigen computer gecheckt op malware die inlogs zou kunnen versturen
– handmatig corefiles geupdated, thema twenty-ten stond daar niet in
– bestaande plugins geupdated waar mogelijk; succuri geinstalleerd; website werd weer gehackt
– admin account veranderd, alle wachtwoorden veranderd: ftp, SALT, admin
– rechten op de mappen met ftp inesteld op aanbevolen waarde
– thema handmatig geupdated, oude plugin verwijderd, wordfence geïnstalleerd en geconfigureerd,nieuwe plugins gekozen en geconfigureerd
– healthcheck plugin geïnstalleerd en aanbevelingen opgevolgd
– nieuwe backups gemaakt
-
Deze reactie is gewijzigd 3 jaren, 3 maanden geleden door wprobbie.
-
Deze reactie is gewijzigd 3 jaren, 3 maanden geleden door wprobbie.
