Website besmet met malware; hoe te handelen

zaterdag 22 april 2017 11:31

Acties:

0 Henk 'm!

Topicstarter

Ik ben nu voor kennissen bezig met hun website. Deze is gehost bij hostmonster.com. De website is momenteel tijdelijk offline. Volgens hostmonster omdat er malware op staat. Daardoor hebben ze bijbehorende webmail account ook geblokkeerd (is dat normaal?). Ze zeggen nu, eerst malware verwijderen, daarna pas weer toegang tot webmail. Ok, het zij zo. Eerst dus maar malware verwijderen. Ik ben nu - as we speak - mbv Filezilla website aan het downloaden. Daarna deze scannen op malware en deze verwijderen. Daarna weer uploaden. Is dat de juiste procedure? Ik kwam met een zoektocht diverse oplossingen tegen om Wordpress websites (dat is het namelijk) op malware te scannen. Ook gratis oplossingen. Moet de website daar echter niet voor in de lucht zijn? Wat nu dus niet het geval is.

Nog iets vreemds. Hostmonster heeft een zogenaamd cPanel voor beheer van je account en website. Gisteren op het werk kon ik daar zonder problemen op in loggen. Echter, thuis wilde dit voor geen meter, welke browser ik ook probeerde. Cookies weggooien, cache leegmaken, niks hielp. Aan het chatten geweest. Hielp ook niet. Toen dacht ik opeens, virusscanner (ESET) uitschakelen. En ja hoor, het functioneerde weer. Bijzonder merkwaardig. Geen enkel bericht van ESET hierover.

zaterdag 22 april 2017 11:48

Acties:

0 Henk 'm!

arvidbeheerder

Simpelste oplossing is natuurlijk gewoon een backup terug zetten, maar dan moet die er wel zijn. Je zou de site in een geïsoleerde vm op je pc kunnen laten draaien en dan even scannen met wat van die tools die je gevonden hebt?

zaterdag 22 april 2017 12:06

Acties:

0 Henk 'm!

be3a18

Topicstarter

Er is een backup van 2015 (althans dat melden de Wordpress tools op de site van Hostmonster). Die zou ik terug kunnen zetten.

zaterdag 22 april 2017 12:14

Acties:

0 Henk 'm!

TECHcrime

- Check welke WordPress versie er actief is
- Download een versie WordPress versie (Precies dezelfde als de huidige versie)
- Verwijder (Na het maken van de backup) alle bestanden, behalve je htaccess, wp-content en wp-config.php
- Plaats de versie WordPress bestanden terug

Nu hoef je alleen nog alle bestanden te checken in de wp-content (Plugins, thema's en uploads)
Vergeet niet een database backup te maken, just to be sure..

Laat maar even weten of ik je nog ergens mee kan helpen.

zaterdag 22 april 2017 12:19

Acties:

0 Henk 'm!

Thralas

Google heeft een zeer uitgebreide resource daarvoor:
Help for Hacked Websites

Als je weet wat je doet (!) dan is het goed mogelijk om het ook weer op te ruimen. In 99 van de 100 gevallen past men enkel bestanden aan en zijn file modification timestamps een prima handvat om te achterhalen wat er allemaal toegevoegd/gewijzigd is.

be3a18 schreef op zaterdag 22 april 2017 @ 11:31:
Ik ben nu - as we speak - mbv Filezilla website aan het downloaden.

Let er dan wel op dat de originele timestamps behouden blijven. Waarschijnlijk kun je via cPanel ook wel een backup downloaden, dan weet je zeker dat dat goedgaat.

Investeer ook wat tijd om te achterhalen hoe de website besmet geraakt is (spoiler: waarschijnlijk een lekke plugin), icm. de access logs kan dat ook helpen om te bepalen wat er daarna allemaal gebeurd is.

zaterdag 22 april 2017 12:59

Acties:

0 Henk 'm!

be3a18

Topicstarter

Ik ben een bestand tegen gekomen genaamd malware.txt. Het gaat om honderden verdachte bestanden (malicious content volgens Hostmonster). Ziet er dus niet goed uit. Klopt het dat op de website ook de emailbestanden staan. Ik zag iets dergelijks voorbij komen in overzicht van Filezilla. Kopiëren duurt trouwens ontzettend lang (nu nog bezig, niet eens op de helft). Waar ligt dat aan? Mijn Ziggo verbinding is snel genoeg.

zaterdag 22 april 2017 13:05

Acties:

0 Henk 'm!

b2vjfvj75gjx7

be3a18 schreef op zaterdag 22 april 2017 @ 12:59:
Ik ben een bestand tegen gekomen genaamd malware.txt. Het gaat om honderden verdachte bestanden (malicious content volgens Hostmonster). Ziet er dus niet goed uit. Klopt het dat op de website ook de emailbestanden staan. Ik zag iets dergelijks voorbij komen in overzicht van Filezilla. Kopiëren duurt trouwens ontzettend lang (nu nog bezig, niet eens op de helft). Waar ligt dat aan? Mijn Ziggo verbinding is snel genoeg.

Wellicht kan je die malware.txt hier posten (eventueel ontdoen van privacy-info zoals het server-path)?

En als die site al lang online is en iedereen 25 megapixel foto's heeft zitten uploaden, kan het om gigabytes gaan... dat in combinatie met een cheap-ass provider als HostMonster (met wellicht lage doorvoersnelheid) verklaart de traagheid...

zaterdag 22 april 2017 13:13

Acties:

0 Henk 'm!

be3a18

Topicstarter

Dit is een klein deel van het bestand.

/home1/xxx/public_html/-/new/wp-includes/js/thickbox/login.php
/home1/xxx/public_html/-/new/wp-content/plugins/contact-form-7/languages/green.php
/home1/xxx/public_html/-/new/wp-admin/includes/class-pclzip.php
/home1/xxx/public_html/-/new/wp-admin/js/revisions-js.php
/home1/xxx/public_html/-/new/wp-admin/press-this.php
/home1/xxx/public_html/-/new/wp-content/plugins/akismet/admin.php
/home1/xxx/public_html/-/new/wp-content/plugins/akismet/legacy.php
/home1/xxx/public_html/-/new/wp-content/plugins/akismet/readme.txt
/home1/xxx/public_html/-/new/wp-includes/class-json.php
/home1/xxx/public_html/-/new/wp-includes/class-phpmailer.php
/home1/xxx/public_html/-/new/wp-includes/class-simplepie.php
/home1/xxx/public_html/-/new/wp-includes/functions.php
/home1/xxx/public_html/-/new/wp-includes/js/colorpicker.dev.js
/home1/xxx/public_html/-/new/wp-includes/js/colorpicker.js
/home1/xxx/public_html/-/new/wp-includes/js/jquery/jquery.form.dev.js
/home1/xxx/public_html/-/new/wp-includes/js/jquery/jquery.form.js
/home1/xxx/public_html/-/new/wp-includes/js/jquery/jquery.js
/home1/xxx/public_html/-/new/wp-includes/js/jquery/jquery.schedule.js
/home1/xxx/public_html/-/new/wp-includes/js/jquery/ui/jquery.ui.datepicker.min.js

Zijn dit niet system files? En dit is nog maar een klein deel. Is het niet beter om gewoon de aanwezige backup uit 2015 terug te zetten?

[ Voor 3% gewijzigd door be3a18 op 22-04-2017 13:15 ]

zaterdag 22 april 2017 13:16

Acties:

0 Henk 'm!

b2vjfvj75gjx7

be3a18 schreef op zaterdag 22 april 2017 @ 13:13:
Zijn dit niet system files?

Ja, die zijn gewoon standaard...

Wellicht kan je de content van één van die zogenaamd geïnfecteerde bestanden hier plaatsen?

En dan bij voorkeur .php en niet al te groot (if any...) zodat het hier past en tegelijk niet uitgevoerd wordt.

Mijn ervaring is dat die scans niets voorstellen en ze elk bestand voor het gemak aanwijzen als corrupt...

Malware probeert per definitie onder de radar te blijven en gaat echt niet elke systemfile die er bestaat infecteren...

zaterdag 22 april 2017 13:17

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

be3a18 schreef op zaterdag 22 april 2017 @ 12:59:
... Kopiëren duurt trouwens ontzettend lang (nu nog bezig, niet eens op de helft). Waar ligt dat aan? Mijn Ziggo verbinding is snel genoeg.

Ik weet niet of je een cache-plugin hebt, maar het zou dus ook kunnen zijn dat je een cachefolder aan het downloaden bent met tachtig kuub aan statische html bestanden.

Als je de site weer inricht, check dan even dat je automatische updates van WP zelf aan hebt staan. In je OP stond niet of je dat had. En installeer evt een plugin die automatisch backups voor je maakt.

[ Voor 18% gewijzigd door P_Tingen op 22-04-2017 13:18 ]

... en gaat over tot de orde van de dag

zaterdag 22 april 2017 13:25

Acties:

0 Henk 'm!

Wiebeltje

Ik zou alleen de database en uploads folder kopiëren. Nieuwste wordpress, plugins en thema downloaden. Dan weet je in ieder geval zeker dat het schoon is. Controleer ook of er nog wel updates komen voor de plugins e.d. als die er niet zijn en er zit een lek in ben je over een week weer gehackt. Zorg inderdaad dat op productie autonomistisch updaten aan staat.

In theorie kunnen er ook nog gekke dingen in de database staan.

zaterdag 22 april 2017 13:27

Acties:

0 Henk 'm!

b2vjfvj75gjx7

P_Tingen schreef op zaterdag 22 april 2017 @ 13:17:
[...]
Als je de site weer inricht, check dan even dat je automatische updates van WP zelf aan hebt staan. In je OP stond niet of je dat had. En installeer evt een plugin die automatisch backups voor je maakt.

Inderdaad, WordFence is wel okay (maar overrated) omdat hij alle systemfiles scant en vergelijkt met de originele repository op Git (de hashsum), zodat je direct weet of je core-files modified zijn;

https://wordpress.org/plugins/wordfence/

En qua backups is DB-Manager een goede; erg light-weight en functioneel. Backupped bv. 1x per week je DB naar een mailadres of cloud-solution; geen omkijken naar (en als je het nodig hebt, kan je altijd terugvallen daarop).

https://wordpress.org/plugins/wp-dbmanager/

zaterdag 22 april 2017 13:32

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

b2vjfvj75gjx7 schreef op zaterdag 22 april 2017 @ 13:27:
[...]
En qua backups is DB-Manager een goede; erg light-weight en functioneel. Backupped bv. 1x per week je DB naar een mailadres of cloud-solution; geen omkijken naar (en als je het nodig hebt, kan je altijd terugvallen daarop).

https://wordpress.org/plugins/wp-dbmanager/

Wat ik een tijd gedaan heb met backups was ze automatisch naar mijn gmail laten sturen en daar een filter aanmaken die ze automatisch verwijdert. Dat klinkt een beetje duf, maar verwijderen bij gmail betekent dat ze 30 dagen lang in de prullenbak staan. Backups ouder dan 30 dagen heb ik niks aan en als ik een backup nodig heb, haalde ik ze uit de prullenbak.

Ik heb nu (denk ik) een andere plugin die automatisch de laatste X backups bewaart in een folder op de site zelf.

... en gaat over tot de orde van de dag

zaterdag 22 april 2017 13:40

Acties:

0 Henk 'm!

b2vjfvj75gjx7

P_Tingen schreef op zaterdag 22 april 2017 @ 13:32:
[...]

Wat ik een tijd gedaan heb met backups was ze automatisch naar mijn gmail laten sturen en daar een filter aanmaken die ze automatisch verwijdert. Dat klinkt een beetje duf, maar verwijderen bij gmail betekent dat ze 30 dagen lang in de prullenbak staan. Backups ouder dan 30 dagen heb ik niks aan en als ik een backup nodig heb, haalde ik ze uit de prullenbak.

Ik heb nu (denk ik) een andere plugin die automatisch de laatste X backups bewaart in een folder op de site zelf.

Die filters heb ik ook

al heb ik een Outlook-adres speciaal voor alle sites die ik beheer;

Iets als database-backup@outlook.com en dat adres fetched alle DB's van alle sites; op basis van een 'incoming filter' worden die DB's dan gezipped in een foldertje in Outlook gezet... al mijn sites zijn nogal compact van opzet, dus voordat die 30GB vol zit ben je wel even bezig...

DB Manager kan je overigens zo instellen dat hij bv. elke DB 1x per week mailt, en tegelijk de 10 meest recente op je server bewaart... maar goed; eerst even die malware oplossen

maandag 24 april 2017 10:49

Acties:

0 Henk 'm!

be3a18

Topicstarter

De malware heb ik nu verwijderd. De vraag blijft (voor mij althans), hoe kan een website besmet raken? Via de laptop/PC waarmee die geupload is?

maandag 24 april 2017 10:55

Acties:

0 Henk 'm!

JT

VETAK y0

Kan ook gewoon via het internet

Iedereen die bij jouw website kan komen kan deze in potentie besmetten. Daarom is het van belang altijd de laatste versie van Wordpress en plugins te gebruiken.

3600wp string @ 115° oost | 825wp panelen/750wp micro's @ 13°/115° oost | 1475wp panelen / 1250wp micro's @ 27°/205° graden zuid
Ecodan warmtepomp
Repo's: HA-Solar-control | HA-heatpump-planning

maandag 24 april 2017 10:58

Acties:

0 Henk 'm!

be3a18

Topicstarter

Ik heb hier weinig verstand van dus alvast excuses voor domme opmerkingen. Een website is toch vanuit een browser "alleen lezen"? Hoe kun je dan een website besmetten?

maandag 24 april 2017 11:01

Acties:

0 Henk 'm!

JT

VETAK y0

be3a18 schreef op maandag 24 april 2017 @ 10:58:
Ik heb hier weinig verstand van dus alvast excuses voor domme opmerkingen. Een website is toch vanuit een browser "alleen lezen"? Hoe kun je dan een website besmetten?

Een website is zeker niet alleen-lezen. Je kunt bijvoorbeeld inloggen en dingen wijzigen. Hoe het kan, tja, dan moet je je gaan verdiepen in hacken. Een simpele methode (die voor Wordpress waarschijnlijk niet meer relevant is maar wel een simpel voorbeeld is) is SQL injectie. Google daar maar eens op.

Wordpress bevat logica en dat is altijd te hacken. Zelfs al zou de website statisch zijn dan nog kan de server gehackt worden.

3600wp string @ 115° oost | 825wp panelen/750wp micro's @ 13°/115° oost | 1475wp panelen / 1250wp micro's @ 27°/205° graden zuid
Ecodan warmtepomp
Repo's: HA-Solar-control | HA-heatpump-planning

maandag 24 april 2017 11:05

Acties:

0 Henk 'm!

be3a18

Topicstarter

Ok, dat gaat mijn verstand te boven.

maandag 24 april 2017 11:30

Acties:

0 Henk 'm!

SadisticPanda

Heet patatje :o

JT schreef op maandag 24 april 2017 @ 11:01:
[...]
Zelfs al zou de website statisch zijn dan nog kan de server gehackt worden.

Dan spreek je toch over gans ander niveau van hackers als ze daar al in slagen.

Voor dat soort hackers zou ik me niet echt zorgen maken. Als die erin willen, geraken ze er ook in. Alleen de kans is klein dat jouw website intressant genoeg voor ze is.

Maar wordpress sites zijn een easy target voor meeste scriptkiddies

Marstek 5.12kw v151, CT003 v117, Sagecom Xs212 1P,

maandag 24 april 2017 11:43

Acties:

0 Henk 'm!

eric.1

be3a18 schreef op maandag 24 april 2017 @ 10:49:
De malware heb ik nu verwijderd. De vraag blijft (voor mij althans), hoe kan een website besmet raken? Via de laptop/PC waarmee die geupload is?

Om een beeld te schetsen hoe (gaat even niet over de details);
https://www.cvedetails.co..._id-2337/product_id-4096/

Zowel in Wordpress als ik gebruikte plugins en zelfs thema's zitten geregeld kwetsbaarheden (= een bug die misbruikt kan worden om bijvoorbeeld ongeoorloofd toegang te verkrijgen). De meeste kwetsbaarheden zijn te misbruiken door de webpagina te bezoeken en wat aanvullende acties uit te voeren. Het enige wat je dus kan doen is alle niet gebruikte of overbodige plugins en themas verwijderen en Wordpress + plugins + themas up to date houden

.

maandag 24 april 2017 11:44

Acties:

0 Henk 'm!

JT

VETAK y0

azz_kikr schreef op maandag 24 april 2017 @ 11:30:
[...]

Dan spreek je toch over gans ander niveau van hackers als ze daar al in slagen.

Voor dat soort hackers zou ik me niet echt zorgen maken. Als die erin willen, geraken ze er ook in. Alleen de kans is klein dat jouw website intressant genoeg voor ze is.

Maar wordpress sites zijn een easy target voor meeste scriptkiddies

Gaat om het idee/concept, we kunnen alles gaan nuanceren en uitleggen maar dat lijkt me te ver gaan voor de TS

3600wp string @ 115° oost | 825wp panelen/750wp micro's @ 13°/115° oost | 1475wp panelen / 1250wp micro's @ 27°/205° graden zuid
Ecodan warmtepomp
Repo's: HA-Solar-control | HA-heatpump-planning

maandag 24 april 2017 11:45

Acties:

0 Henk 'm!

be3a18

Topicstarter

De website waar het over gaat is niet echt interessant voor outsiders. Denk dat iemand het gewoon leuk vond om even iets te proberen. Maar wel zorgelijk dat het zo makkelijk kan gaan.

maandag 24 april 2017 11:50

Acties:

0 Henk 'm!

Radiant

Certified MS Bob Administrator

Denk het niet. Er zijn mensen die gewoon het internet afscannen naar Wordpress-sites die vulnerable zijn en op die manier botnets opbouwen of malware willen verspreiden. Zorg er dus maar voor dat je Wordpress update (en geupdate houdt).

maandag 24 april 2017 11:56

Acties:

0 Henk 'm!

borft

Hoe oud was de software die je draaide? Was je Wordpress up to date? En eventuele plugins, themes? Hoe zit het met permissies? Gebruik je sterke wachtwoorden op wp-admin? evt IP filters? Gebruik je altijd ssl voor connecties naar wp-admin? Als het shared hosting is, kan er ook via een andere site zijn ingebroken, daarom altijd zorgen dat permissies goedstaan.

Ik denk dat je ook even de content in je database moet checken, die gebruikt Wordpress vaak ook als cache.

Het beste zou zijn om een last-known-good-state terug te zetten van een backup, van zowel db als code.

maandag 24 april 2017 11:56

Acties:

0 Henk 'm!

be3a18

Topicstarter

Radiant schreef op maandag 24 april 2017 @ 11:50:
Denk het niet. Er zijn mensen die gewoon het internet afscannen naar Wordpress-sites die vulnerable zijn en op die manier botnets opbouwen of malware willen verspreiden. Zorg er dus maar voor dat je Wordpress update (en geupdate houdt).

Inderdaad. Zoals ik al zei, ik heb hier weinig verstand van. Ben ook maar "ingehuurd" om dit eventjes te doen. Malware verwijderen viel mee (ik heb gewoon besmette bestanden verwijderd). Voorkomen ander verhaal. Hostmonster rekent hiervoor 500 dollar per jaar. Beetje prijzig.

Hoe goed is Hostmonster met bijhouden Wordpress? Gebeurt dit automatisch?

[ Voor 5% gewijzigd door be3a18 op 24-04-2017 11:59 ]

maandag 24 april 2017 12:23

Acties:

0 Henk 'm!

eric.1

be3a18 schreef op maandag 24 april 2017 @ 11:56:
[...]

Inderdaad. Zoals ik al zei, ik heb hier weinig verstand van. Ben ook maar "ingehuurd" om dit eventjes te doen. Malware verwijderen viel mee (ik heb gewoon besmette bestanden verwijderd). Voorkomen ander verhaal. Hostmonster rekent hiervoor 500 dollar per jaar. Beetje prijzig.

Hoe goed is Hostmonster met bijhouden Wordpress? Gebeurt dit automatisch?

Wordpress kan al geheel autonoom zichzelf updaten (kan je aanvinken in de admin page van je Wordpress website). Onzin om daarvoor te betalen. Zorg wel zelf voor backups (webbestanden + database) om bij een eventuele fout snel terug te kunnen. Ik weet alleen niet of themas en plugins bij de auto-update ook meegenomen kunnen worden.

Hostmonster zal wel iets van wp-cli gebruiken die automatisch om de zoveel tijd draait (op de onderliggende server).

Maar goed, met 1 druk op de knop kan je dit eventueel ook handmatig via de admin pagina doen

1x per week even inloggen 》 update all en klaar.

Als je het uit handen wilt geven..kan ook.

[ Voor 12% gewijzigd door eric.1 op 24-04-2017 12:32 ]

maandag 24 april 2017 12:42

Acties:

0 Henk 'm!

be3a18

Topicstarter

Ok, ik zal eens kijken naar dat update all. Hostmonster heeft inderdaad vanuit de admin console de Wordpress options. Zal er eens naar kijken.

Vraag

Alle reacties