Door egrep
te gebruiken, zijn we in staat om meerdere woorden tegelijk te doorzoeken als dat nodig is, waardoor u in dit geval tijd bespaart.
Of probeer iets als dit:
# grep -r "http://canadapharmacy.com" .
Dit werkt alleen als de infectie niet is gecodeerd, gecodeerd of aaneengeschakeld.
Een andere nuttige methode is om uw website via verschillende user agents en referrers te benaderen. Hier is een voorbeeld van hoe een website eruit zag bij gebruik van een Microsoft IE 6 referrer:
Probeer Bots vs Browsers om uw website te controleren via een aantal verschillende browsers.
Terminal gebruikers kunnen ook CURL
gebruiken:
# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com
Hoe voorkom ik het?
Het voorkomen van een pharma hack kan lastig zijn. Sucuri heeft ontdekt dat de hack regelmatig misbruik maakt van kwetsbare out-of-date software. Uw verouderde WordPress-installatie is echter niet noodzakelijkerwijs het probleem. Zelfs als u up-to-date bent, kan een andere verouderde installatie op dezelfde server kwetsbaar zijn voor de infectie. Als de echte payload zich elders op uw server bevindt, niet in de directory van uw website, dan kan het bijzonder moeilijk zijn om hem op te sporen.
Hier een voorbeeld van waar u naar zou kunnen zoeken als u de infectie niet in uw eigen installatie kunt vinden:
Om een pharma-hack te voorkomen, moet u twee dingen doen:
- Uw software up to date houden,
- Steer weg van gaarkeukenservers.
Malicious Redirects
Een malicious redirect stuurt een gebruiker naar een malafide website. In 2010 werden 42.926 nieuwe kwaadaardige domeinen gedetecteerd. In 2011 groeide dit aantal tot 55.294. En dat zijn alleen de primaire domeinen, niet al hun subdomeinen.
Wanneer een bezoeker wordt doorgestuurd naar een andere website dan de hoofdsite, kan de website al dan niet een kwaadaardige payload bevatten. Stel dat u een website hebt op myhappysite.com
; wanneer iemand die bezoekt, kan de website de bezoeker naar meansite.com/stats.php
brengen, waar de kwaadaardige payload zich in het stats.php
-bestand van die website bevindt. Of het kan een onschuldige website zijn met alleen advertenties en geen kwaadaardige payload.
Hoe word ik aangevallen?
Zoals bij veel malware-aanvallen, komt het neer op toegang. De kwaadaardige omleiding kan worden gegenereerd door een achterdeur. De hacker zou scannen op een kwetsbaarheid, zoals TimThumb of oude versies van WordPress en, wanneer ze die vinden, een payload uploaden die functioneert als een backdoor.
Hoe ziet het eruit?
Het detecteren van een redirect is niet zo complex als het detecteren van sommige andere infecties. Het wordt vaak gevonden in uw .htaccess
bestand en ziet er ongeveer zo uit:
Of zoals dit:
Er kunnen gevallen zijn waarin een redirect is gecodeerd en zich in een van uw PHP-bestanden bevindt. Als dat het geval is, zal het meestal te vinden zijn in uw header.php
, footer.php
of index.php
bestand; het is ook bekend dat het zich bevindt in de root index.php
bestand en in andere core template bestanden. Het is niet altijd gecodeerd, maar als dat wel zo is, ziet het er ongeveer zo uit:
Hoe weet ik of ik geïnfecteerd ben?
Er zijn een paar manieren om te controleren op infecties. Hier volgen enkele suggesties:
- Gebruik een gratis scanner, zoals SiteCheck. Ze zeer zelden missen kwaadaardige redirects.
- Test met behulp van Bots vs Browser.
- Luister naar uw gebruikers. U zult de redirect misschien niet detecteren, maar soms zal een gebruiker u erop attenderen.
Als een gebruiker een probleem detecteert, stel hen dan relevante vragen om te helpen bij de diagnose van het probleem:
- Wat voor besturingssysteem gebruiken ze?
- Welke browser(s) gebruiken ze, en welke versie(s)?
Hoe meer informatie u van hen krijgt, hoe beter u het probleem kunt repliceren en een oplossing kunt vinden.
Hoe wordt het schoongemaakt?
Malleidende omleidingen zijn een van de gemakkelijkste infecties om schoon te maken. Hier is een goed startpunt:
- Open uw
.htaccess
bestand. - Kopieer eventuele herschrijfregels die u zelf hebt toegevoegd
- Identificeer eventuele kwaadaardige code, zoals het voorbeeld hierboven, en verwijder het uit het bestand. Scroll helemaal naar de onderkant van
.htaccess
om er zeker van te zijn dat er geen error directives zijn die naar dezelfde infectie wijzen.
Zorg er ook voor dat je alle .htaccess
bestanden op de server bekijkt. Hier is een snelle manier om te zien hoeveel er op uw server staan:
# find -name .htaccess -type f | wc -l
En dit zal u vertellen waar die bestanden precies staan:
# find -name .htaccess -type f | sort
De infectie is daar echter niet altijd beperkt. Afhankelijk van de infectie, vindt u mogelijk ook de omleiding gecodeerd en ingesloten in een bestand zoals index.php
of header.php
.
Alarmerend, deze infecties kunnen repliceren over al uw .htaccess
bestanden. De backdoor die hiervoor verantwoordelijk is, kan ook worden gebruikt om meerdere .htaccess
bestanden in al je mappen te maken, allemaal met dezelfde infectie. Het verwijderen van de infectie kan aanvoelen als een zware strijd, en soms is het opschonen van elk bestand dat je kunt vinden niet genoeg. Er zijn zelfs gevallen waarin een bestand is aangemaakt buiten de webdirectory. De les is dat je altijd zowel buiten als binnen je Web directory moet kijken.
Hoe voorkom ik het?
Een snelle en makkelijke methode is om de eigenaar van het bestand te veranderen, of om de rechten van het bestand te verlagen zodat alleen de eigenaar toestemming heeft om het te wijzigen. Echter, als uw root account is gecompromitteerd, zal dat niet veel goeds doen.
Het belangrijkste bestand om voor te zorgen is .htaccess
. Bekijk de tutorial “Protect Your WordPress Site with .htaccess” voor tips om dat te doen.
Conclusie
Daar heb je het: vier veel voorkomende aanvallen die een ravage aanrichten in veel WordPress installaties vandaag de dag. Je voelt je er misschien niet beter door als je gehackt wordt, maar hopelijk voel je je met dit beetje kennis zekerder dat de hack kan worden opgeruimd en dat je website weer terug kan komen. Het belangrijkste is dat je hier één ding uit meeneemt: zorg dat WordPress altijd wordt bijgewerkt.
Tony’s Top Tien Beveiligingstips
- Verwijder generieke accounts, en weet wie er toegang heeft tot je omgeving.
- Verhard je mappen zodat aanvallers ze niet tegen je kunnen gebruiken. Stop PHP executie.
- Bewaar een backup; je weet nooit wanneer je het nodig hebt.
- Veilige verbinding met je server. SFTP en SSH heeft de voorkeur.
- Mijd soep-keuken servers. Segmenteer tussen ontwikkeling, staging en productie.
- Blijf up-to-date met uw software – alles van it.
- Kies onnodige credentials, met inbegrip van voor FTP, wp-admin en SSH.
- U hoeft geen berichten te schrijven als beheerder, noch hoeft iedereen een beheerder te zijn.
- Als je niet weet wat je doet, maak dan gebruik van een managed WordPress hosting provider.
- IP filtering + Two-factor authentication + Strong credentials = Secure access
Tony’s Most Useful Security Plugins
- Sucuri Sitecheck Malware Scanner Deze plugin van Tony en de Sucuri crew maakt volledige malware en blacklist scanning mogelijk in je WordPress dashboard, en het bevat een krachtige Web application firewall (WAF).
- Limit Login Attempts Beperkt het aantal inlogpogingen dat mogelijk is, zowel via normaal inloggen als met behulp van auth cookies.
- Twee-factor authenticatie Deze plugin maakt Duo’s twee-factor authenticatie mogelijk, met behulp van een service zoals een telefoontje of SMS bericht.
- Thema-Check Test uw thema om er zeker van te zijn dat het voldoet aan de thema review standaarden.
- Plugin-Check Doet wat Thema-Check doet, maar dan voor plugins.
Security Tools
- Sucuri SiteCheck
- Unmask Parasites scanner
Security Resources
- Sucuri Blog
- Website beveiliging bij Perishable Press
- Unmask Parasites Blog
- Badware Busters
- WPsecure
- WordPress vergrendelen, Michael Pick
Nuttige beveiligingsartikelen
- “10 Nuttige WordPress Beveiliging Tweaks,” Jean-Baptiste Jung
- “10 Stappen om uw WordPress installatie te beveiligen,” Fouad Matin
- “Google Zwarte Lijst Waarschuwingen: Er klopt hier iets niet,” Tony Perez
- “WordPress harden,” WordPress Codex
- “Hoe de hacker te stoppen en ervoor te zorgen dat uw site is vergrendeld,” Tony Perez
- “Verwijdering van malware van websites: WordPress Tips en Trucs,” Tony Perez