Toon posts:

wordpress gekraakt, htacces veranderd

Pagina: 1
Acties:

Onderwerpen

Vraag


  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Mijn wachtwoord was van een andere site gepakt, toen werden mijn wordpresssites gekraakt. Er werden nieuwe gebruikers toegevoegd en ik kreeg error 500. Alle wachtwoorden veranderd, een website compleet opnieuw moeten installeren en Synology beveiliging verbeterd. Maar nu toch weer bij een site error 500. Na htacces weer terug veranderd te hebben kon ik er weer in.
En ja hoor, een nieuwe gebruiker. De.htaccess was veranderd in:

<FilesMatch '.(php|php5|phtml)$'>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch '^index.php$'>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Wat is de bedoeling van de hacker hiermee? Ik ben niet op de hoogte van de scripttaal.
Ik gebruikt een (uiteraard ander) .htaccess script voor de https, die heb ik er nu ingezet en de site werkt normaal.

Ook maak ik me zorgen, hoe komt een wordpress gebruiker/hacker in de mogelijkheid om htaccess te veranderen?

reindu

Beste antwoord (via reindu op 18-11-2021 09:34)


  • bcome
  • Registratie: september 2013
  • Laatst online: 20:10
Wordpress past automatisch de .htaccess aan als je "pretty URLs" aan hebt staan:
https://wordpress.org/sup...tically-updating-htaccess

Laten we alsjeblief niet doemscenario's over backdoors gaan bedenken terwijl het gewoon functionaliteit is van de software die je draait. Verder kan ik je aanraden om de webserver enkel schrijfrechten te geven op de bestanden die wordpress daadwerkelijk moet schrijven, en al het andere enkel leesrechten om dit soort situaties te voorkomen.

Voor de volledigheid nog even een uitleg wat het allemaal doet. Kleine fouten daargelaten omdat ik al jaren NGINX gebruik:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# Aanroepen die eindigen op een punt gevolgd door php,php5 of phtml
<FilesMatch '.(php|php5|phtml)$'>
Order allow,deny
# Weiger toegang
Deny from all
</FilesMatch>
# Aanroepen die enkel "index.php" heten
<FilesMatch '^index.php$'>
Order allow,deny
# Sta toegang toe
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
# Een regel voor index.php, stop met controleren van regels na deze
RewriteRule ^index\.php$ - [L]
# Als het aangeroepen pad niet een bestaand bestand is
RewriteCond %{REQUEST_FILENAME} !-f
# Als het aangeroepen pad niet een bestaande map is
RewriteCond %{REQUEST_FILENAME} !-d
# Stuur alles naar index.php
RewriteRule . /index.php [L]
</IfModule>

[Voor 45% gewijzigd door bcome op 17-11-2021 16:17]

Alle reacties


  • Hydra
  • Registratie: september 2000
  • Laatst online: 18:26
Ik denk dat het een back-door is om toegang te kunnen krijgen op elke file op het systeem door een REQUEST_FILENAME te zetten.

https://niels.nu


Acties:
  • Beste antwoord
  • +2Henk 'm!

  • bcome
  • Registratie: september 2013
  • Laatst online: 20:10
Wordpress past automatisch de .htaccess aan als je "pretty URLs" aan hebt staan:
https://wordpress.org/sup...tically-updating-htaccess

Laten we alsjeblief niet doemscenario's over backdoors gaan bedenken terwijl het gewoon functionaliteit is van de software die je draait. Verder kan ik je aanraden om de webserver enkel schrijfrechten te geven op de bestanden die wordpress daadwerkelijk moet schrijven, en al het andere enkel leesrechten om dit soort situaties te voorkomen.

Voor de volledigheid nog even een uitleg wat het allemaal doet. Kleine fouten daargelaten omdat ik al jaren NGINX gebruik:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# Aanroepen die eindigen op een punt gevolgd door php,php5 of phtml
<FilesMatch '.(php|php5|phtml)$'>
Order allow,deny
# Weiger toegang
Deny from all
</FilesMatch>
# Aanroepen die enkel "index.php" heten
<FilesMatch '^index.php$'>
Order allow,deny
# Sta toegang toe
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
# Een regel voor index.php, stop met controleren van regels na deze
RewriteRule ^index\.php$ - [L]
# Als het aangeroepen pad niet een bestaand bestand is
RewriteCond %{REQUEST_FILENAME} !-f
# Als het aangeroepen pad niet een bestaande map is
RewriteCond %{REQUEST_FILENAME} !-d
# Stuur alles naar index.php
RewriteRule . /index.php [L]
</IfModule>

[Voor 45% gewijzigd door bcome op 17-11-2021 16:17]


  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Bcome, enorm bedankt. Ik maakte mij behoorlijk ongerust, in mijn hoofd zaten allemaal doemscenario's.
Ik heb meteen alle htaccessén op only read gezet. Ik zal nog zoeken naar pretty URLs. Maar ondanks je uitleg, is mij door mijn gebrekkige kennis niet duidelijk wat de hacker met het scripr wil.Tikt hij op het webadres filenamen in om die te kunnen inlezen?

reindu


  • Voutloos
  • Registratie: januari 2002
  • Niet online
Begin dan met de pretty urls.

Stel je hebt een url naar een pagina: hostnamehiero.nl/pagina/42/mijn-kattenfotos

Het bestandje pagina/42/mijn-kattenfotos bestaat dan niet echt, maar dankzij de rewrite kan wordpress, dat vanaf index.php opstart, wel die specifieke pagina gaan opbouwen en serveren.

That’s all.

Een error 500 is ook niet per se spannend. Kwestie van in je applicatie logs kijken.

{signature}


  • Creepy
  • Registratie: juni 2001
  • Laatst online: 22:40

Creepy

Moderator Devschuur®

Tactical Espionage Splatterer

reindu schreef op woensdag 17 november 2021 @ 17:23:
Bcome, enorm bedankt. Ik maakte mij behoorlijk ongerust, in mijn hoofd zaten allemaal doemscenario's.
Ik heb meteen alle htaccessén op only read gezet. Ik zal nog zoeken naar pretty URLs. Maar ondanks je uitleg, is mij door mijn gebrekkige kennis niet duidelijk wat de hacker met het scripr wil.Tikt hij op het webadres filenamen in om die te kunnen inlezen?
Dit was een update van wordpress, of een aanpassing van een setting in wordpress. Dat heeft je .htacces doen veranderen. Niet een hacker. Er is qua .htaccess in dit geval niks aan de hand.

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have star problems" --Kevlin Henney


  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 00:50

AW_Bos

Waar ga je heen? ☀

Los van het feit dat er geen sprake is van hacking, snap ik niet waar je de nieuwe users ziet verschijnen.

[Voor 47% gewijzigd door AW_Bos op 18-11-2021 11:33]

Waar ga je heen?


  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Creepy, dat zou mooi zijn. Maar toch een rare update, waardoor je een error 500 krijgt. Bovendien, waarom wordt dit in de ene site wel en in alle andere sites niet veranderd. De Wordpress versie is bij mij overal dezelfde (de laatste)..Ik kreeg een bericht van ik weet niet meer welkje site, dat de wachtwoorden waren gehacked, en inderdaad de sites van Wordpress met dat wachtwoord gaven even later problemen. Ook toen op alle sites nieuwe gebruikers. Ik heb toen alle wachtwoorden veranderd, maar nu er weer wat aan de gang is, dacht ik meteen aan hacken.
Die nieuwe gebruikers zie je in het scherm gebruikers van Wordpress, ze hebben een of andere willekeurige naam van een serie letters.
Ik heb een script in mijn htaccess omdat het met https niet liep. Ik gebruikte dat script van VictorV om "Je kunt met .htaccess in de Web shared folder het verkeer op poort 80 redirecten naar 443 en requests voor domeinen ombuigen (bijv domein.com naar www.domein.com).
Het verkeer van buiten kan allemaal op dezelfde twee poorten HTTP/80- HTTPS/443 binnenkomen en de rewrite rules zorgen ervoor dat het juiste verkeer naar de juiste site wordt geforward"
Dat script was:

# redirect "http://domein.com", "http://allesbehalvewww.domein.com", maar ook "https://domein.com" naar https://www.domein.com
RewriteCond %{HTTP_HOST} ^!(www\.)domein\.com$ [OR,NC]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://www.domein.com%{REQUEST_URI} [R=301,L]

en dat werkte.

reindu


  • luukvr
  • Registratie: juni 2011
  • Niet online
Is misschien beter dit soort toevoegingen buiten de wordpress code te doen, bij elke update heb je kans dat dit weer verdwijnt.

Doe dit soort redirects gewoon in de sites available settings van apache of nginx (of whatever je gebruikt)

  • Creepy
  • Registratie: juni 2001
  • Laatst online: 22:40

Creepy

Moderator Devschuur®

Tactical Espionage Splatterer

Als je een error 500 krijgt, kijk dan eerst eens in de logs wat die melding dan precies is. Dat kan namelijk echt van alles zijn. Dat er "ineens" iets niet meer werkt betekent niet automatisch dat je weer bent gehackt zoals de vorige keer. Met de informatie die je nu geeft (alleen .htaccess aangepast) lijk je niet gehackt te zijn aangezien de .htaccess gewoon normaal is. En de error 500 vind je terug in de apache logs. Als jij daar niet bij kan, dan zou je hoster je verder moeten kunnen helpen.

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have star problems" --Kevlin Henney


  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 00:50

AW_Bos

Waar ga je heen? ☀

Ik hoorde al dat het om een Synology ging, en dus geen hosting ;)

Kijk eens in deze log-file:
/var/log/httpd-error-user.log

Waar ga je heen?


  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Ik moet nog uitzoeken hoe ik in die logs kom, ik ben het unix gebeuren een beetje kwijt.Met putty erin. Ik vond apache24-error_log.5.xz. Uit een diep verleden wist ik nog de vi-editor te herinneren, maar daar kreeg ik alleen een willekeurige chaos te zien, geen tekst.

Maar dat ik gehackt ben, is nu wel duidelijk. Als je in google het webadres zoekt kom je in een verwijzing van Chines site vol chinese letters, klikken op de link levert nu gelukkig wel mijn site op.

reindu


  • xh3adshotx
  • Registratie: oktober 2011
  • Laatst online: 05-12 17:57
Hoe heb je de website opnieuw geïnstalleerd? Mogelijk is iets teruggezet met een back-up file?

  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Ah, ik moest de apache24-error_log hebben. Daar stond 7 keer, allemaal op 2 november, de poort achter 106.75.152.123 varieert, in:

2021-11-02T15:15:08+01:00 DISKSTATION [Tue Nov 02 15:15:08.288596 2021] [proxy_fcgi:error] [pid 19120:tid 1380971552] [client 106.75.152.123:48594] AH01071: Got error 'Primary script unknown\n', referer: anonymousfox.co

[Voor 10% gewijzigd door reindu op 27-11-2021 21:07]

reindu


  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Ik heb de website niet opnieuw geinstalleerd. Ik heb de .htaccess veranderd, een nieuw wachtwoord ingevoerd en de nepgebruiker eruitgegooid.

reindu


  • Voutloos
  • Registratie: januari 2002
  • Niet online
Ik snap nog steeds weinig van je verhaal. De aard van de hack maak je niet duidelijk, en het is nog steeds onduidelijk waarom je het maar steeds over de .htaccess en ‘een gebruiker’ hebt.

Ik hoop van harte dat je het nu juist hebt ingericht en alle schade ongedaan gemaakt hebt, maar uit enkel de posts hier blijkt niet dat je het gehele plaatje overziet of zeker weet wat de schade überhaupt was.

{signature}


  • xh3adshotx
  • Registratie: oktober 2011
  • Laatst online: 05-12 17:57
reindu schreef op zaterdag 27 november 2021 @ 20:57:
Ik heb de website niet opnieuw geinstalleerd. Ik heb de .htaccess veranderd, een nieuw wachtwoord ingevoerd en de nepgebruiker eruitgegooid.
Dan komt het gewoon weer terug. Vaak uploaden ze ergens een bestand waar een backdoor instaat zodat ze na verlies van toegang gewoon weer controle kunnen krijgen. Twee opties:

- Weten wat je doet en opschonen
- Helemaal opnieuw beginnen (zonder back-up terug te zetten of een back-up (ver) voor de besmetting)

[Voor 3% gewijzigd door xh3adshotx op 28-11-2021 14:56]


  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Voutloos,
Ik ben niet erg ingevoerd in deze materie. Dat betekent automatisch dat mijn verhaal wat rommelig is. Ik weet niet wat belangrijk is.
Ik noem het een hack, omdat iedere keer nieuwe gebruikers toegevoegd zijn en beide keren het websiteadres gekoppeld was aan een of andere Chinese site en de .htaccess veranderd was (maar dat schijnt dus niet relevant te zijn). In Wordpress heb je een 'dashboard' waar je users kan zien. Een user heeft alle bevoegdheden om aan de website te sleutelen. Maar in de websites is niets veranderd, dus lijkt mijn lekenoordeel dat het enige doel is de verwijzing naar de Wordpresssite te veranderen. De eerste keer was dat problematisch omdat je niet meer bij de website en het dashboard van Wordpress kan komen, dus toen moesten we de website opnieuw maken. Gelukkig hebben we de teksten ook elders.
Het is naar mijn idee een Wordpress gebeuren omdat ik ook een zelfgebouwde php website heb, die ook gebruikmaakt van phpMyAdmin, maar daar is niets mee aan de hand.
Het backuppen lijkt me een heel gedoe, omdat er dus 6 verschillende databases in PhpMySQL zitten. Maar dat is misschioen luiigheid.

Kan iemand me de Apache foutmelding uitleggen?

reindu


  • vicitee
  • Registratie: april 2013
  • Laatst online: 03-12 22:39
Wss een xss attack.

Vrij makkelijk op te lossen door alles te vervangen behalve wp-content en wpconfig.php

Vervolgens ff pluginmap hernoemen naar plugins1 en Wordfence of Cerberus laten scannen.

Dit vervolgens herhalen op alle getroffen websites.

Indien mogelijk split de websites in de hostingsoftware naar gescheiden accounts.

Zo isoleer je het de volgende keer.

  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
'Makkelijk' is subjectief, hoe doe je dat?
Maar zo leer je weer wat, ik heb nu Wordfence als plugin geinstalleerd op een van de sites, kijken of hij wat vindt.

[Voor 5% gewijzigd door reindu op 28-11-2021 20:38]

reindu


  • vicitee
  • Registratie: april 2013
  • Laatst online: 03-12 22:39
Yes.

Had je toevallig ook WP2018 in de hoofdmap?

Klant van mij had laatst iets soortgelijks, ook met rare aziatische webshops.

  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Ik zie geen file met WP2018 ergens in de naam.

reindu


  • amst3l
  • Registratie: mei 2009
  • Laatst online: 30-11 09:45
Ik had dit ong. een jaar geleden ook gehad. Heel vervelend probleem, maar bij mij was het destijds ook zo ver dat het als dusdanig was geindexereerd in Search Console: https://developers.google...panese_keyword_hack?hl=nl

Misschien heb je wat hieraan, vervelend is het sowieso. Wellicht ook een idee om WordFence te installeren als extra beveiliging?

  • Sitelabs
  • Registratie: december 2009
  • Laatst online: 19:30
Ik weet niet wat voor website(s) je draait, maar is het met beperkte kennis niet veiliger om je websites bij een hosting onder te brengen? Dit hoeft echt niet duur te zijn, afhankelijk van de hoster krijg je support en gebeuren er geen gekke dingen binnen je eigen netwerk.

  • reindu
  • Registratie: november 2003
  • Laatst online: 01-12 22:13
Sitelabs, nu komen we op het gebied van een eigen levensfilosofie. Ik doe graag alles zelf en als er wat fout gaat, dan zijn het tenminste mijn eigen blunders. Met het overlaten van dingen aan anderen, bijv ICT professionals, kan ik je uit eigen ervaring hele extreme verhalen vertellen.

reindu


  • PatrickH89
  • Registratie: november 2009
  • Laatst online: 21:50
reindu schreef op maandag 29 november 2021 @ 18:12:
Sitelabs, nu komen we op het gebied van een eigen levensfilosofie. Ik doe graag alles zelf en als er wat fout gaat, dan zijn het tenminste mijn eigen blunders. Met het overlaten van dingen aan anderen, bijv ICT professionals, kan ik je uit eigen ervaring hele extreme verhalen vertellen.
Toch zou ik niet graag een van buitenaf bereikbare Wordpress installatie binnen mijn eigen netwerk draaien zonder veel kennis van zaken met als risico dat je Synology of andere apparaten binnen het netwerk getroffen worden. Met een goedkope webhost kun je alsnog zaken zelf regelen, maar kun je het in elk geval scheiden van je eigen gevoelige data.
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee