[Vimexx] Malware aangetroffen

Verwijder alle bestanden.
Upload een backup van voor de infectie of start opnieuw.

Jammer, zo werkt het helaas.
Alleen als je heel goed bent kan je het probleem oplossen met behoud van data.

Heb al meerdere malen WP websites gerepareerd. Ik doe het niet meer omdat men denkt dat ik leef op gratis brood en benzine.
Eerst betalen is nu het motto.

Maar wat als er geen probleem is met malware, en Vimexx je belazert?

jordinoort schreef op vrijdag 1 april 2022 @ 02:03:
Maar wat als er geen probleem is met malware, en *hostingpartij* je belazert?

Gehackte sites zijn een serieus probleem en voor diverse redenen ook erg vervelend voor een hoster. Denk hierbij aan grotere load op de server(s), blacklistings, etc. Een hoster heeft er niets aan om mensen te belazeren. Ze zien liever dat een malafide website totaal geen klant meer is, dan dat ze daar last van hebben. Dat geld voor het fixen is naar mijn mening ook nog peanuts voor het werk en ervaring wat je er in principe voor nodig hebt.

Ik heb ze gevraagd aan te geven wat er aangetroffen is en in welke bestanden, maar *hostingpartij* wil dus totaal geen extra informatie geven.

Je neemt hosting af waar jij verantwoordelijk bent voor een aantal zaken. Moet *hostingpartij* bijvoorbeeld ook je website updaten en bijhouden? Misschien ook nog je SEO fixen omdat deze niet goed is? Mijn punt is, je betaald een vanaf prijs van 4,99 en je neemt geen managed service af die je overal in ontzorgt.

Vergelijk het met een auto, natuurlijk heb je misschien wel garanties bij de garage (dus zoek dan de gene die je site heeft gemaakt). Je hebt een APK, misschien een beurt, af en toe even bandjes op pompen. Dus waarom is dat voor een website zo vreemd dan?

Het is niet "willen", het is niet het niet kunnen zonder er tijd en expertise in te stoppen wat ze niet doen voor je 4,99 pakket. Om maar even de harde waarheid te vertellen

Voelt heel erg alsof ze dit doen om hun opschoonservice te kunnen verkopen.

Right, maar probeer er eens objectief naar te kijken. Jij hebt met alle respect de ervaring niet. Maar als een hoster 'fout verkeer' ziet (bijv. dos aanval vanuit je website of het serveren van malware in de firewall), moet die dan alles onderzoeken? Het kan letterlijk overal op je server/site zitten. Dat kost tijd en energie om echt te vinden en schoon te krijgen. Het is niet zomaar "oh, je moet cron X verwijderen en exploit Y fixen" wat je zo even 123 tegen iemand kunt vertellen.
Het is jouw website waar jij verantwoordelijk voor bent en die veroorzaakt nu problemen. Op dit moment is dat een 'jou probleem' helaas.

Wat zou ik verder nog kunnen doen? Ideeën?

- De skills en ervaringen op doen om dit allemaal zelf te kunnen oplossen
- Naar een hoster gaan die totaal niets geeft om veiligheid en dan dump je het daar neer
- Zelf iemand zoeken (lees: inhuren) om het voor je op te lossen
- Die 80 euro betalen om het te laten oplossen door *hostingpartij*

[ Voor 7% gewijzigd door Douweegbertje op 01-04-2022 02:49 ]

In tegenstelling tot de reactie boven mij zou ik ook in ieder geval een korte beschrijving verwachten van *wat* er gedetecteerd is. Wordt er spam verstuurd? Is er verdacht verkeer van/naar vastgesteld? Is er een abuse melding ingestuurd of is het een automatische trigger? Indien nodig wat regeltjes logging erbij, dat is voor die partij echt 0 moeite om het er even bij te plakken.

Maar goed, welk pakket neem je af bij de partij? In de DirectAdmin zit de tool "Website Malwarescan" onder "Advanced Features" (vanaf pakket Plus). Dat is een goede plek om zelf te beginnen.

Dat je 2 .DAT bestanden aantreft welke er niet horen zegt toch genoeg dat je WP site lek is? Welke code er nu op de achtergrond draait heb jij geen idee van.

Als ze specifieke meldingen gaan versturen krijgen ze daar ook weer vragen over.

plofkip schreef op vrijdag 1 april 2022 @ 09:10:
[...]

Die achtergrond processen zullen toch een php script moeten hebben waarmee ze aangetrapt worden? Ik kan echt nergens een script vinden wat er niet hoort, ook de geautomatiseerde tools die de integriteit checken niet.

Je scanned vanuit een mogelijk gehackte applicatie naar bestanden die er niet horen. Wie zegt dat die scans (nog) betrouwbaar zijn? Ze kunnen prima werken op een schone installatie en hacks voorkomen maar als de applicatie (host) waarin ze draaien compromised is kan de uitkomst best beïnvloed worden.

Om een (mogelijk) gehackte Wordpress site op te schonen heb je best veel specialistische kennis nodig. De enige optie als "leek" is om gewoon opnieuw te beginnen met eventueel een back-up waarvan je zeker weet dat die schoon is. Zie het als een leermoment om je website up-to-date te houden.

plofkip schreef op vrijdag 1 april 2022 @ 09:10:
[...]

Die achtergrond processen zullen toch een php script moeten hebben waarmee ze aangetrapt worden? Ik kan echt nergens een script vinden wat er niet hoort, ook de geautomatiseerde tools die de integriteit checken niet.

Jij bent 5000+ files afgelopen waarin een (al dan niet) niet-leesbare PHP functie kan zitten welke acties uitvoert. En een gecompromiteerde site is sowieso al niet meer te vertrouwen zonder volledig externe scan.

Maak een backup. Laat de “schoonmaakservice” z’n werk doen. Vergelijk achteraf byte voor byte de backup met je opgeschoonde site. Vind je onregelmatigheden en zie je dat je genept wordt door de service trek dan aan de bel en publiceer je bevindingen hier.

Ik had dit ook bij een andere hoster op regelmatige basis, terwijl ik alles automatisch up to date hou.

Zelf heb ik de complete site eerst gedownload via SFTP en daarna met lokale en online tools de data gescand en daar kwam inderdaad wat uit.

En om het in de toekomst te voorkomen heb ik de ouderwetse methode van een .htaccess bestand toevoegen in de wp-admin map en enkel mijn eigen ip adres toegevoegd. Sindsdien 0x meer voorgekomen.

Volgens mij heeft TS helemaal geen backups gemaakt?

In dat geval, neem je verlies, zie dit als een leermoment, en begin opnieuw.

plofkip schreef op vrijdag 1 april 2022 @ 09:21:
[...]

Tja, dat is het leuke, de site is automatisch up-to-date gehouden en ik heb echt geen exotische plugins geïnstalleerd.

Heb je de "major release" automatische update ook aangezet? Anders blijf je alsnog hangen op een oude versie na een tijdje.

plofkip schreef op vrijdag 1 april 2022 @ 09:27:
[...]

Wat is dan het leermoment? Het is een super simpele wordpress site die up-to-date is en gehouden wordt.

Dat je backups moet maken van je website

@plofkip Hier staan wat tools en voor de rest lokale en online virusscanners gebruikt.

Bij mij kwam het erop neer dat in de plugin folders enkel malafide bestanden neergezet waren die het veroorzaakte.

[ Voor 24% gewijzigd door Hari-Bo op 01-04-2022 09:29 ]

plofkip schreef op vrijdag 1 april 2022 @ 09:31:
[...]

Oké en dan? Ik heb geen idee wat er mis is en sinds wanneer, wat heb je dan aan die waardevolle backups?

Diffs draaien zodat je wel kunt zien sinds wanneer iets anders is

Douweegbertje schreef op vrijdag 1 april 2022 @ 02:46:
[...]


Gehackte sites zijn een serieus probleem en voor diverse redenen ook erg vervelend voor een hoster. Denk hierbij aan grotere load op de server(s), blacklistings, etc. Een hoster heeft er niets aan om mensen te belazeren. Ze zien liever dat een malafide website totaal geen klant meer is, dan dat ze daar last van hebben. Dat geld voor het fixen is naar mijn mening ook nog peanuts voor het werk en ervaring wat je er in principe voor nodig hebt.


[...]


Je neemt hosting af waar jij verantwoordelijk bent voor een aantal zaken. Moet *hostingpartij* bijvoorbeeld ook je website updaten en bijhouden? Misschien ook nog je SEO fixen omdat deze niet goed is? Mijn punt is, je betaald een vanaf prijs van 4,99 en je neemt geen managed service af die je overal in ontzorgt.

Vergelijk het met een auto, natuurlijk heb je misschien wel garanties bij de garage (dus zoek dan de gene die je site heeft gemaakt). Je hebt een APK, misschien een beurt, af en toe even bandjes op pompen. Dus waarom is dat voor een website zo vreemd dan?

Het is niet "willen", het is niet het niet kunnen zonder er tijd en expertise in te stoppen wat ze niet doen voor je 4,99 pakket. Om maar even de harde waarheid te vertellen


[...]

Wat een boel aannames?
Zal ik de auto even meenemen in verdere vergelijkingen?
Je neemt ergens een dienst voor het parkeren van je auto af. Van het ene op het andere moment krijg je een brief waarin ze vertellen dat je auto niet langer toegankelijk is, omdat deze gevaarlijke stoffen lekt. Bij uitzondering mag er 1 persoon komen kijken.
Als je dan vraagt wat er precies waar lekt, krijg je niet thuis.

Ik snap de reactie van de hoster, en is wat mij betreft een prima actie om de boel dicht te gooien. Echter wie eist die bewijst. Hoster vind dat er iets gebeurd wat niet ok is, laat deze dan ook even vertellen wát er volgens hun niet ok is?

Koffie schreef op vrijdag 1 april 2022 @ 09:40:
[...]
Ik snap de reactie van de hoster, en is wat mij betreft een prima actie om de boel dicht te gooien. Echter wie eist die bewijst. Hoster vind dat er iets gebeurd wat niet ok is, laat deze dan ook even vertellen wát er volgens hun niet ok is?

Nee, dat wil je als hoster niet want dan gaan je klanten alleen maar symptomen bestrijden en niet de oorzaak. Gewoon dichtgooien en het de klant lekker zelf laten uitzoeken is veel efficiënter

plofkip schreef op vrijdag 1 april 2022 @ 09:31:
[...]

Oké en dan? Ik heb geen idee wat er mis is en sinds wanneer, wat heb je dan aan die waardevolle backups?

Ik vind dat je hier een beetje laks mee omgaat. Bij het gebruiken van Wordpress is het algemeen bekend dat veiligheid een dingetje is. Ik snap je frustratie heel goed maar Vimexx doet dit niet om je te pesten.

Als je een Wordpress site draait ben je zelf verantwoordelijk voor de integriteit. Als je niet weet hoe je die moet waarborgen dan moet je een managed service nemen of accepteren dat de hoster nu ingrijpt.

Ik zou beginnen met een clean WP installatie, data terugzetten (als in DB) en de rest zelf handmatig configureren. Zoek even op internet hoe je het e.a. kan blokkeren, 9 van de 10 keer komen ze binnen via scanners. Deze scanners zoeken op de meest bekende ingangen (/wp-admin, hier kun je /feestvarken van maken), de RPC ping enz. Daarnaast is het verstandig om de wp-admin enkel via whitelisted ip's toe te laten.

Kritisch kijken naar plugins is een tweede, pak enkel plugins van grote partijen of die duizenden installs hebben en zorg dat ze niet automatisch updaten. Wees wel op de hoogte van updates maar voer ze een maandje later uit (tenzij het een lek patcht), zo voorkom je dat de plugin zelf gehijacked is.

En uiteraard wordpress zelf updaten, maar dat doe je al automatisch.

Nog een tip; veel wordpress sites kunnen statisch werken, vaak is er geen interactie (m.u.v. contact formulier, maar dat zou je anders kunnen oplossen). Als je website statisch kan werken dan kun je de gehele site statisch laten generen vanaf wordpress waardoor er geen enkele "php code" meer uitgevoerd wordt. Dan wordt het knap lastig om binnen te komen, pas je iets aan, dan genereer je opnieuw de statische website.

Vimex heeft een heel mooi backup terugzet systeem. Dat kun je gewoon aanklikken en enkele seconden later staat die backup terug. Misschien dat de handigste optie?

Als je gecompromitteerde bestanden vindt, dan kan je vast wel opmaken wanneer die aangepast zijn.

AW_Bos schreef op vrijdag 1 april 2022 @ 11:21:
Als je gecompromitteerde bestanden vindt, dan kan je vast wel opmaken wanneer die aangepast zijn.

Inderdaad, die .dat bestanden hebben ook een datum.
Meeste inbraken passen de datum van de bestanden niet aan om tracering lastiger te maken.

plofkip schreef op vrijdag 1 april 2022 @ 11:20:
[...]

Hoe kom ik erachter wanneer de site nog in orde was

In verkeer venster zie je waarschijnlijk wel plotseling wat meer verkeer bijvoorbeeld? Doe je 2 dagen ervoor?

plofkip schreef op vrijdag 1 april 2022 @ 13:21:
en nu lijkt alles schoon te zijn

Totdat...

Is het zelfde als dat je een terras in je tuin plaatst en alles is mooi en strak, totdat... het regent.

plofkip schreef op vrijdag 1 april 2022 @ 13:00:
Nou ik heb ze eindelijk zover dat ze informatie verschaffen over hetgeen dat aangetroffen is.
In de .htpasswd map stonden 3 PHP scripts die daar niet horen, daterend van 28-11-2020 01:01:19
Nu heb ik die 3 verwijderd en doe ik nog wat scans om meer zekerheid te krijgen of er nog meer van dit soort bestanden aanwezig zijn (want deze zaten dus buiten de public_html map).

Het enige probleem is dat je nog steeds niet weet hoe ze dan binnen zijn gekomen, waardoor je hoogstwaarschijnlijk op zeer korte termijn weer bent geïnfecteerd. Tenzij je misschien een update van bepaalde zaken hebt gedaan die misschien iets eerder hadden moeten gebeuren waardoor dat lek nu dicht is.

Het kan ook zijn dat er meer files zijn aangepast die als backdoor dienen of die die files in je .htpasswd weer terug gaan zetten.

Dus tip/hint;

Kijk naar de dates van de files. Ik ga er vanuit van de manier van binnenkomen dat de files de datum van de hack hebben. Kijk vervolgens naar je access logs in die periode en zoek uit wat voor calls er zijn gedaan. Vaak kom je er zo achter wat er is aangeroepen. Je zult eigenlijk een 'backtrace' moeten doen om zo A) het lek te vinden en te gaan dichten en B ) exact zien wat er nu is gedaan.

Koffie schreef op vrijdag 1 april 2022 @ 09:40:
[...]


Wat een boel aannames?

Nah, ik heb genoeg ervaring in dit wereldje en ik vertel alleen hoe het is. Dat de situatie klote is en dat TS daar niet bij is gebaat is, is wat anders. Net zoals dat de hoster IETS beter mag informeren is wellicht een gegeven.

Echter wie eist die bewijst. Hoster vind dat er iets gebeurd wat niet ok is, laat deze dan ook even vertellen wát er volgens hun niet ok is?

Ja toch zit dat even wat anders qua verantwoordelijkheden. Je hebt zelf je verantwoording om dat te checken, alles up-to-date te houden en te controleren of alles steeds in orde is. Het probleem is dat je over het algemeen als hoster meer op hoger niveau iets ziet. Zoals in de firewall, netwerk, etc. Dus dat ze nu antwoord hebben gegeven over de files betekend dat ze nu echt wel iets extra's hebben gedaan en hoogstwaarschijnlijk een complete 'list' was van nieuwe/changed files. Iets wat TS ook kon doen

Dan kom ik gewoon terug op mijn punt dat er zoveel hosters zijn die voor een x-bedrag iets aanbieden en eigenlijk kan daar geen service bij. Als ze dit voor alles en iedereen moeten doen, dan wordt straks het hosting bedrag verdubbeld. Dat vindt iedereen ook vervelend...

Misschien kom ik als een complete l*l over steeds met mijn berichten maar we moeten gewoon ook realiseren dat er voor zo'n bedrag per maand, er over het algemeen zeer weinig tegenover kan staan.

[ Voor 7% gewijzigd door Douweegbertje op 01-04-2022 14:17 ]

Well ik ben in het verleden een kleine webhoster geweest.
En ik heb wel eens een klant van de email af gegooid omdat haar account ineens like 100X haar normale verkeer begon te geven.

Toen bleek haar pc besmet geweest met malware en de email login-details gestolen te zijn.
Mijn systeem keek ook niet naar de inhoud, maar puur naar raar gedrag.

[ Voor 11% gewijzigd door hackerhater op 01-04-2022 14:40 ]

plofkip schreef op vrijdag 1 april 2022 @ 09:27:
[...]

Wat is dan het leermoment? Het is een super simpele wordpress site die up-to-date is en gehouden wordt.

Misschien een plugin die je gebruikt? Sommige plugins zijn niet zo snel met het fixen van veiligheidsproblemen, of het ondersteunen van nieuwere wordpress versies waardoor het e.e.a. op oude versies blijft hangen.

Wordpress is gewoon een enorm groot doelwit omdat er zo enorm veel sites mee werken. Dat maakt elk bugje nogal laaghangend fruit voor de hacker.

Wat ik deed toen ik nog een wordpress site had, was die lokaal draaien op mijn Mac en dan spideren na elke update en dan alles als statische content uploaden naar de hoster. Dat werkt heel goed en je bent voor de bugs niet meer vatbaat.

Helaas werkt dat natuurlijk niet als je iets interactiefs wil doen (mijn site was gewoon een simpele site zonder comments of login). Maar als het kan dan is het een geweldige oplossing.

Nog even: Je schreef dat je ontdekt had dat je SSH toegang kon krijgen tot je site. Heb je daar nu een goed password op staan, anders dan je gewone webmaster login?
De SSH poort is een van de dingen die veel gescand wordt, en daar wil je geen default password op hebben.

plofkip schreef op vrijdag 1 april 2022 @ 13:00:
Nou ik heb ze eindelijk zover dat ze informatie verschaffen over hetgeen dat aangetroffen is.
In de .htpasswd map stonden 3 PHP scripts die daar niet horen, daterend van 28-11-2020 01:01:19
Nu heb ik die 3 verwijderd en doe ik nog wat scans om meer zekerheid te krijgen of er nog meer van dit soort bestanden aanwezig zijn (want deze zaten dus buiten de public_html map).

Precies wat ik zei, hè? Symptoom bestrijding. Er staan php-scripts die er niet horen, dus die halen we weg; opgelost. Maar hoe die bestanden er hebben kunnen komen, wat er nou precies lek is aan je server, hoe je dat eventueel zou kunnen voorkomen? Boeit niet

Als die scripts daadwerkelijk in November 2020 geplaatst zijn dan moet je wel erg diep graven en dan is het maar de vraag of je erachter komt hoe dit heeft kunnen gebeuren. Tevens valt dan ook niet zonder meer uit te sluiten dat het na het opschonen geheel verholpen is.

Bij twijfel: het zootje (WordPress installatie) niet meer vertrouwen en gewoon een nieuwe installatie gebruiken. Kijk dan gelijk naar WordPress hardening.

Als het toch een simpele site is dan is dit niet eens zo gek veel werk.