[Wordpress] Spam op website?

woensdag 7 augustus 2013 20:23

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Ik onderhoud de website van mijn vaders bedrijf. Deze site is gehost bij Strato. Nu heeft Strato de website offline gezet omdat er volgens hun spam op verstuurd(?) wordt.

Ik heb even op de FTP gekeken en zag het volgende:

Afbeeldingslocatie: http://f.cl.ly/items/2h131m3a20473M0l0H2e/Schermafbeelding%202013-08-07%20om%2020.20.57.png

Afbeeldingslocatie: http://f.cl.ly/items/2h131m3a20473M0l0H2e/Schermafbeelding%202013-08-07%20om%2020.20.57.png

Ik heb echt geen idee waar dit vandaan komt. De website draait op Wordpress.

Hieronder nog even de mail die ik kreeg:

Dear Mr. Nieuwenhuis,

Under the address www. chaletpark-t-markslag.nl you maintain a website with
STRATO AG, whereby you ordered a complete Internet package and agreed to
adhere to our company's general terms and conditions.

It has come to our attention your Internet presence has been abused fort he
dispatching of mass e-mails (spam).

This could have occurred if you have installed your own CGI scripts and/or
PHP files on your webspace. Such files (particularly outdated versions) have
substantial safety flaws and can therefore be used by unknown third parties
fort he dispatch of mass e-mails. You can therefore (unknowingly) promote
the dispatch of spam.

In addition, there is also a danger that the servers in our computing centre
will be blacklisted due tot he spam e-mails dispatched from your website.
Many Internet providers use such blacklists to filter out spam. A situation
can therefore arise, whereby all of your sent messages and additionally, the
messages of many other STRATO customers can get identified and deleted by
the filter programs of other providers as spam.

You are responsible for all installed scripts and executable files on your
website. In ordert o prevent the further dispatch of spam from your
webspace, we have fort he time being deactivated the file(s)

/chaletparkmarkslag.nl/collector.php

To mitigate and avert potential damages we have shut-down your website(s).
We ask you for understanding. Could you please examine the current programs
on your webspace and remove the responsible script. We also ask you in the
future to monitor all your scripts in ordert o prevent the dispatch of spam.

Please confirm that this has been carried out til 05.08.2013

We regret that these difficulties have arisen, and we ask for your
understanding that we must take such necessary action to prevent spam
e-mails.

Yours sincerely,

STRATO AG | CCS Abuse

woensdag 7 augustus 2013 20:44

Acties:

0 Henk 'm!

Sendy

Wat een vreemde "fort he", "ordert o" en "tot he" fouten in deze e-mail. Zijn dat tracking bugs ofzo?

Er zal wel een of meerdere exploiteerbare fouten in de code zitten. Ik zou alles wegdoen, daarna alle scripts controlleren en/of updaten, en pas daarna de website weer opnieuw op te bouwen.

woensdag 7 augustus 2013 20:47

Acties:

0 Henk 'm!

AtleX

Tyrannosaurus Lex 🦖

Een niet up-to-date gehouden Wordpress toevallig? Dan was het natuurlijk een kwestie van tijd tot het zou gebeuren. Het handigst is nu een content export te maken, alles (inc. DB) weg te gooien, een nieuwe installatie van Wordpress te doen, alle content controleren en als die geen sporen van de hack bevat weer importeren. En niet vergeten daarna wel gewoon elke keer Wordpress te updaten.

Sole survivor of the Chicxulub asteroid impact.

woensdag 7 augustus 2013 20:54

Acties:

0 Henk 'm!

Boelie-Boelie

Met https://encrypted.google.com/search?q=wordpress+hacked kom ik uit op o.a.
https://codex.wordpress.org/FAQ_My_site_was_hacked

Let op dat het ook aan jouw eigen computer kan liggen (verouderd FTP-programma, virus, etc.) dus vergeet die ook niet te scannen en bij te werken.

Ook Google zelf geeft tips (incl. video-uitleg):
http://googlewebmastercen...hacked-site-recovery.html

Cogito ergo dubito

woensdag 7 augustus 2013 20:56

Acties:

0 Henk 'm!

u_nix_we_all

Laatst een geval van website-infectie gedat doordat een klant een trojan in de ftp-client had zitten die de wachtwoorden doorspeelde.
Dat duurde even om op te sporen, de spammer logde in via ftp, uploadde een php file die een spamrun deed, en vervolgens haalde hij die php-file er weer af. Scannen van de php op troep leverde dus niets op, pas bij nalopen ftp-logs vielen de vreemde ipnummers op, en hebben we de boel vervolgens dichtgezet.
O.a. ervoor gezorgd dat de user waaronder de httpd draait geen toegang had tot mail, dus zelfs als er weer zoiets gebeurd komt er op die manier geen mail meer uit.

Dus zelfs al is je website up-to-date qua wordpress of php of wat je ook gebruikt, ben je kwetsbaar. Dus het is handig om additionele maatregelen zoals fail2ban en bovenstaande dingen te gebruiken.

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

woensdag 7 augustus 2013 21:45

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Dat "HELP" in je titel is nergens voor nodig. Iedereen die hier een topic opent wil hulp, waarom ben jij speciaal?

Afgezien van dat: je kan op heel wat verschillende plaatsen een lek hebben, variërend van op je eigen pc, tot je FTP-server, tot je HTTP-server, tot je website zelf. Zelfs een andere klant van Strato zou gehackt kunnen zijn als er bovendien nog een rechtenprobleem speelt, dus mogelijk ligt de oorzaak niet eens bij jou (al is dat onwaarschijnlijk). Uiteindelijk kunnen wij niet meer dan koffiedik kijken. Nu kun je vooral even symptoombestrijden: website leeghalen en opnieuw installeren, wachtwoorden wijzigen, zorgen dat WP up to date is. Virusscanner draaien op de pc waarop je je spul uploadt. In je logs kijken of er verdachte requests zijn.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 7 augustus 2013 22:09

Acties:

0 Henk 'm!

sweebee

Topicstarter

@NMe: sorry, zal het niet meer doen

Ik heb even het volgende gedaan:

Website gedownload naar de pc. Alle plugins en wordpress bestanden vervangen met originele/nieuwe bestanden.

Database wachtwoord veranderd.

een index.html op de site gezet (met wat simpele text) en wordpress eraf gelaten.

Ik weet niet of dit in eerste instantie voldoende is?

[ Voor 6% gewijzigd door sweebee op 07-08-2013 22:10 ]

woensdag 7 augustus 2013 22:45

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

In de eerste instantie wel maar vergeet niet dat die site geïnfecteerd is geweest. Domweg alle bestanden downloaden en later geüpdated weer terugzetten is geen goed idee want wie weet wat voor rotzooi ze aan scripts hebben toegevoegd. Even een schone install doen van Wordpress (of een oude backup terugzetten) en dan eventueel indien nodig je ontbrekende assets (plaatjes e.d.) terugzetten van de backup die je net gemaakt hebt.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 9 augustus 2013 00:31

Acties:

0 Henk 'm!

bartbh

En zorgen dat je je FTP wachtwoord verandert. Als ze die hebben dan kunnen ze er natuurlijk als nog bij.

vrijdag 9 augustus 2013 08:33

Acties:

0 Henk 'm!

Woudloper

« - _ - »

Probleem zit zoals de andere ook zeggen in een geïnfecteerde client. Zie bijvoorbeeld deze uitleg over FileZilla en wachtwoorden in platte tekst.

Het kan goed zijn dat een trojan op je PC ervoor heeft gezorgt dat je gebruikersnaam/wachtwoord is opgeslagen en dat dit is gebruikt om uiteindelijk deze bestanden op je host te plaatsen.

Van WordPress gewoon regelmatig een backup maken, zijn diverse middelen voor. Bijvoorbeeld via dropbox. Daarnaast zou je met wat SSH scripts ook goede backup kunnen instellen. Hierdoor wordt het terugdraaien een stuk eenvoudiger.

vrijdag 9 augustus 2013 14:42

Acties:

0 Henk 'm!

sweebee

Topicstarter

Ik heb de laatste versie van Coda op me mac staan. Weet niet of daar bekende problemen mee zijn? Verder gebruik ik Coda voor meerdere websites en daar nog nooit problemen mee gehad.

woensdag 14 augustus 2013 13:50

Acties:

0 Henk 'm!

TheNephilim

Wtfuzzle

u_nix_we_all schreef op woensdag 07 augustus 2013 @ 20:56:
Laatst een geval van website-infectie gedat doordat een klant een trojan in de ftp-client had zitten die de wachtwoorden doorspeelde.
Dat duurde even om op te sporen, de spammer logde in via ftp, uploadde een php file die een spamrun deed, en vervolgens haalde hij die php-file er weer af. Scannen van de php op troep leverde dus niets op, pas bij nalopen ftp-logs vielen de vreemde ipnummers op, en hebben we de boel vervolgens dichtgezet.
O.a. ervoor gezorgd dat de user waaronder de httpd draait geen toegang had tot mail, dus zelfs als er weer zoiets gebeurd komt er op die manier geen mail meer uit.

Dus zelfs al is je website up-to-date qua wordpress of php of wat je ook gebruikt, ben je kwetsbaar. Dus het is handig om additionele maatregelen zoals fail2ban en bovenstaande dingen te gebruiken.

Klopt, veel vingers wijzen allereerst naar de ontwikkelaar. Dan is de hoster aan de beurt en dan blijkt de klant zelf gewoon zijn PC niet goed beveiligd te hebben.

Technisch hebben klanten niet veel met FTP te maken als je een Wordpress website voor ze maakt. Ze krijgen bij ons vaak alleen een username en wachtwoord voor een redacteurs account in Wordpress. Helaas moet je FTP gegevens toch vaak krijgen van de klant, die ze in de mail heeft staan.

---

Wat betreft het topic, het is heel simpel. Wordpress bestanden vervangen, alle onnodige themes en plugins verwijderen. Van de nodige themes en plugins de bestanden vervangen. Alle custom content nalopen om zeker te zijn dat er geen backdoors zijn.

---

Wat betreft backups: https://wpremote.com/

Daarnaast zijn er een waslijst aan plugins die bekijken of er bestanden worden veranderd die niet veranderd mogen worden. Bijvoorbeeld http://www.wordfence.com/

[ Voor 6% gewijzigd door TheNephilim op 14-08-2013 13:51 ]

Onderwerpen