Klanten van besmette website/mailserver ontvangen veel spam

LS,

De oorzaak is gevonden, gistermiddag is er van een onbekend IP-adres ingelogd met beheerders wachtwoord, daarna werden alle reacties van spam gemeld door klanten.

Actie's ondernomen:
1.Autoreply en wachtwoord van mailserver/Wordpress respectievelijk uitgeschakeld en gewijzigd.
2.website/shop offline gehaald, 2TP verificatie wordpress ingeschakeld (klant wilde dit niet in eerste instantie is 'leek'). Rechten klant gedowngrade naar redacteur.

Mijn strategie om deze spammer te analyseren is:
1.Ccleaner & virusscanners plus analyse van alle kantoor PC/laptops etc. nalopen. Fullscannen dus en kijken naar logs.
2.Alle media, plugins enz. te verwijderen en opnieuw installeren.
3.Wordpress map verwijderen en schone installatie doen.
4.Opgeschoonde backup uploaden.
5.Media en plugins terugplaatsen en instellen c.q. configureren.
6. Alle betrokken partijen informeren.

Heb ik met bovenstaande strategie voldoende gedaan of kan ik meer doen om uit te vinden wat de besmetting was?!

Room42 schreef op zaterdag 5 oktober 2019 @ 01:47:
3. Wat is het verschil tussen de actuele versie opschonen en een backup opschonen? Kun je niet beter een schone backup terugplaatsen en die patchen zodat er ie niet meer het lek bevat dat je had?

De oude backups had ik verwijderd, behalve laatste drie. Ik heb vanaf begin nooit een backup terug hoeven zetten. Toen ik de schone backup terug wilde zetten bleek die groter te zijn dan 512mb en error gaf. Ik kon kiezen voor betaalde backup versie die wel backups >512mb kon terug zetten of opschonen. Ik koos voor laatste omdat de site nog in proefperiode draait en alles optimaal is ingesteld. Ik heb afgelopen maanden veel werk gemaakt om woocommerce, Mollie & moneybird te configureren. Opschonen i.p.v. hele oude backup waardoor ik alles opnieuw moet configureren, instellen en afstemmen is te veel werk. Dus nu met 2tp authentificatie denk ik wel ‘veilig’ te zijn.

Je zegt dat er ingelogd is met een beheerderswachtwoord. "Beheerder" is in het Nederlands nogal dubbelzinnig. Bedoel je een administrator van Wordpress of een Linux-gebruiker met sudo-/root-rechten?

Ik ben de klant wegwijs aan maken in Wordpress, zodat zij terzijnertijd de webshop zelf kan onderhouden. Zij en ik samen hadden Wordpress admin rechten. Zij heeft bij een onbekende computer ingelicht (die kennelijk besmet was) want vijf minuten later begonnen de spammails te komen. Ik heb gelijk actie ondernomen en de schade beperkt gehouden.

Wat ik mis in je stappenlijst is alle wachtwoorden resetten en 2FA vereisen voor alle accounts met enige waarde. Ik kan me voorstellen dat je het voor gasten niet wilt maar iedereen die beheer doet zou wel 2FA ingeschakeld moeten hebben.

Ja, wachtwoorden resetten heb ik gedaan na inschakelen van de 2FA. Nu moet ze mij bellen als ze wil inloggen en krijgt ze van me de 2FAcode.

Wat je ook nog kan doen is fail2ban configureren op verschillende bekende scans (zie je access logs) en gefaalde logins.

Fail2ban?! Ik ben daar niet mee bekend, kan je dat nader toelichten⁉️Accesslogs en gefaalde logins heb ik gecheckt en waren schoon. Ik heb alle hooks ook verwijderd.

En heel kritisch naar de add-ons kijken. Worden die nog wel onderhouden/supported? Zo niet: Zoek een alternatief.

Ik heb alle addons verwijderd en instellingen genoteerd, de actieve ga ik opnieuw installeren en configureren.

Dank voor alle feedback🙏🏾

Killjoy schreef op zaterdag 5 oktober 2019 @ 09:18:
[...]

Datalek melden bij de Autoriteit Persoonsgegevens. Er is onbevoegd toegang geweest tot het systeem en klanten hebben daar hinder van ondervonden. Dat maakt het tot een meldingsplichtig datalek.

Ik kom daarop terug als ik maandag a.s. tijdens werkuren met Autoriteit Persoonsgegevens heb gebeld en me laten informeren voor te nemen stappen en procedures.

Heb je op basis van logfiles trouwens uit kunnen sluiten dat er gegevens zijn gekopieerd uit de applicatie?

Daar ben ik mee bezig o.a. wordfence logs heb ik al doorgenomen...

Mijn cliënt werkt zonder VPN (ik werk altijd met VPN) en zal haar ook adviseren een VPN te nemen.

Kan ik de site https://haveibeenpwned.com/ veilig gebruiken om te controleren of onze emailadressen zijn besmet? Of adviseren jullie anders?

Orion84 schreef op zaterdag 5 oktober 2019 @ 12:41:
[...]


[...]

Havibeenpwned is veilig, maar 'betrouwbaar' is natuurlijk op meerdere manieren uit te leggen. Het is betrouwbaar in de zin dat het geen shady clubje is dat de ingetypte emailadressen verzamelt en doorverkoopt aan spammers of zo. Maar als een email adres daar geen hit geeft, wil dat enkel zeggen dat het niet voorkomt in bekende gepubliceerde account dumps. Dat is op zich een goed teken, maar alles behalve alleszeggend. Buitgemaakte gegevens hoeven immers lang niet altijd per se binnen afzienbare tijd in dergelijke publieke dumps te verschijnen. Het is in die zin dus geen betrouwbare test of er emailadressen van jou of je klant(en) buit zijn gemaakt bij de hack.

Sowieso, wat bedoel je met "besmet"? Die site geeft, zoals ik al zei, aan of een emailadres voorkomt in publieke dumps van buitgemaakte accountgegevens. Lees ook https://haveibeenpwned.com/FAQs even door.

---

[mbr]En pas a.u.b. je reactie aan als je meerder dingen te zeggen hebt. 3 reacties op rij posten is niet de bedoeling, die joekel van een waarschuwing dat je als laatste gereageerd hebt staat er niet voor nietes :)[/mbr]

De mailadressen die ik heb gecheck komen 'clean' uit de test. Ik ga de FACT verder lezen, bedankt voor toelichting

En wat bedoel je in je startpost met spam? Krijgen je klanten ineens veel spam in hun email? Of in reacties op hun bij jou gehoste wordpress pagina's?

Klanten kregen elke minuut een email van onze autoreply mailserver op hosting die gekoppeld is aan webshop. Ik constateerde dit gister in avond, nadat mijn cliënt vele telefoons kreeg dat haar mailserver aan spammen was. Ik zag in log dat zij vanaf een onbekend IP adres had ingelogd (om 15;00uur) op een computer die niet van haar was. Kennelijk was die bewuste PC /'besmet'?!

Ik heb gelijk actie ondernomen autoreply uit gezet en webshop offline gehaald enz.

[ Voor 19% gewijzigd door digidokter.net op 05-10-2019 12:56 ]