Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wordpress hack

08-11-2019, 22:25 door Anoniem, 6 reacties
Hi,

Heb een wordpress hack waarbij wrs de theme files zijn injected. Heb de basis WP al verplaats naar een nieuwe WP site en server compleet scanned, alle Uploads al blocked, maar nu droppen ze in mijn root folder files.

Ik zie nu op elke page:


<form method="POST" action="" enctype="multipart/form-data"><input type="file" name="image"><input type="Submit" name="Submit" value="Submit"></form>

Hoe kan ik scannen of ik deze injectie kan verwijderen? Het is een way old theme, dus logisch eigenlijk, maar kennis heeft geen nieuwe theme, moet ik het in CSS bestanden zoeken?

Of kan ik die
<form method="POST" action="" enctype="multipart/form-data"> blocken?

Grtz
Reacties (6)
09-11-2019, 11:17 door Tintin and Milou
Door Anoniem: Hi,

Heb een wordpress hack waarbij wrs de theme files zijn injected. Heb de basis WP al verplaats naar een nieuwe WP site en server compleet scanned, alle Uploads al blocked, maar nu droppen ze in mijn root folder files.

Ik zie nu op elke page:


<form method="POST" action="" enctype="multipart/form-data"><input type="file" name="image"><input type="Submit" name="Submit" value="Submit"></form>

Hoe kan ik scannen of ik deze injectie kan verwijderen? Het is een way old theme, dus logisch eigenlijk, maar kennis heeft geen nieuwe theme, moet ik het in CSS bestanden zoeken?

Of kan ik die
<form method="POST" action="" enctype="multipart/form-data"> blocken?

Grtz

Op Tweakers nog niet de juiste reacties gekregen? https://gathering.tweakers.net/forum/list_messages/1955707[ulr]?Maar de vraag is eigenlijk niet hoe krijg je dit er uit. De vraag zou moeten zijn, hoe kreeg men dit er in?Want als je dit opschoont, komt men gewoon zo weer binnen door de zelfde exploit op WP of een plugin. Je kunt je site ook volledig niet meer vertrouwen, en je zult iedere file moeten controlleren. Zowel de php files als alle plaatjes.Eigenlijk de enige goede methode is, goede backup terug zetten, en daarna de security issues fixen en zorgen dat je vanaf nu altijd goed up to date blijft met alles in WP. Of een ander CMS nemen....
09-11-2019, 12:55 door Anoniem
Beste anonieme OP,

Begin hier te lezen: https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/

Check dan hier:https://hackertarget.com/wordpress-security-scan/
Zet de Directory Listing op disabled (User Enumeration ook trouwens).

Velen kunnen gemakkelijk worden geowned, via deze verkeerde settings.
Scriptkiddies hoeven slechts bijvoorbeeld een shodannetje en een dazzlepodje te doen
en met jouw enumeratie- en directory listing gegevens
en kennis over een kwetsbare plug-in of erger nog een stukje verlaten code ben je al "vogelvoer".

Check of alles, versie, thema en plug-ins up to date zijn.
Check hier: https://retire.insecurity.today/# en voer oude en verlaten code af.
Lint je webpagina ook hier en let vooral op het security gedeelte daar: https://webhint.io/scanner/

Lees hier: https://wordpress.org/support/topic/question-about-some-logs-after-hack/
en hier over een voorbeeld van een dergelijke hack: https://www.exploit-db.com/exploits/36942

Voer af, patch en upgrade

Succes met het herstel van je website, en "temperatuur" die vervolgens steeds, en hou 'm fit.
Oh, juist, en houdt ook php in de gaten, index.php etc. PHP op dit CMS kan een echte 'wormendoos' blijken.

groetjes-doei,

luntrus
09-11-2019, 17:26 door Anoniem
Door Tintin and Milou:
Op Tweakers nog niet de juiste reacties gekregen? https://gathering.tweakers.net/forum/list_messages/1955707?

Maar de vraag is eigenlijk niet hoe krijg je dit er uit. De vraag zou moeten zijn, hoe kreeg men dit er in?
Want als je dit opschoont, komt men gewoon zo weer binnen door de zelfde exploit op WP of een plugin.

Je kunt je site ook volledig niet meer vertrouwen, en je zult iedere file moeten controlleren. Zowel de php files als alle plaatjes.


Eigenlijk de enige goede methode is, goede backup terug zetten, en daarna de security issues fixen en zorgen dat je vanaf nu altijd goed up to date blijft met alles in WP.
Of een ander CMS nemen....

Inderdaad.

De topic starter lijkt erop gefocust dat het iets met themes te maken heeft, maar dat is hoogstwaarschijnlijk niet zo. Het doet er niet toe waar malwarebestanden staan, dat heeft geen relatie met hoe men binnenkomt.

TS, wat je moet doen is je server offline opnieuw opzetten, geen bestanden overnemen, backup terugzetten (ook als die oud is). Zorg dat Apache niet draait of gestart wordt. Besturingssysteem, Apache, php en alle php plugins updaten naar de laatste versie. Het doet er niet toe of ze worden gebruikt of niet. Plugins die niet oud zijn of niet meer worden ondersteund verwijder je volledig. plugins die niet werken met een nieuwe php verwijder je ook. Laat oude bestanden niet staan, dan ben zo weer besmet. Maak geen backups in het www pad. Scanners lossen je probleem niet op.
10-11-2019, 02:30 door Anoniem
Heerlijk dat nog niemand heeft gepost dat je geen wordpress moet gebruiken. Ik heb een computer spelletje dat Pong heet. Daar kun je mee tennissen op je TV. Dat heb ik al 45 jaar niet hoeven updaten. En het werkt nog perfect. Het nadeel is dat je er alleen mee kunt tennissen op je TV. Met wordpress kun je veel meer.

Als je wordpress gebruikt dan is het maken van backups essentieel. Dat blijkt maar weer. Goeie tips ook, hierboven, om problemen op te lossen als je dijkbewaking niet helemaal perfect bleek. Het komt met het concept.

Ik mis er nog eentje, maar dat heeft doorgaans te maken met dat techneuten moeite hebben met het concept dat gebruikers een site ook gebruiken. Een algemeen euvel, dat sinds het Pong spelletje enorm is gegroeid.

Voordat je naar je backup grijpt, probeer in een stabiel moment je posts te exporteren. Daar zijn plugins voor. Daarna zet je je backup terug. En daarna werk je hem bij tot de actuele stand.

Wat ik ook mis, en dat is echt een heel belangrijke als je wordpress gebruikt, maak altijd een test omgeving. Bijvoorbeeld onder een subdomein. Gaat je site lek, dan kun je altijd je backup eerst in je test omgeving zetten, alle wijzigingen bijwerken, alles goed testen en scannen, en dan de boel migreren naar je echte site. Het is ook beter om kritieke updates eerst even in een testomgeving te doen. En te kijken of je niet ineens een internal server error krijgt. Een testomgeving backup je natuurlijk ook, zodat je die ook daar kunt terugzetten. Zeker als je niet weet hoe je een error 500 weg moet krijgen. Het kan ook makkelijk, want een terabyte krijg je tegenwoordig bijna kado op drie supermarkt zegeltjes.

Een goeie wordpress site wordt gebackupt, en heeft een duplicaat in een testomgeving. Gaat er wat heel scheef, hoofdsite op tijdelijk in onderhoud zetten (zijn ook plugins voor), rustig alles uitpluizen en up to date brengen in je testomgeving. En dan terug migreren.

Voor de bezoeker is dat ook beter. Hij doet het of hij doet het even niet. Dan komen ze later wel terug. Ga je met je hoofdsite speeltuinen, dan jaag je bezoekers weg. Want die denken dan dat ze zelf misschien iets virus of engs op hùn computer hebben.

Best practice: When it works, don't fix it. Updaten in testomgeving. Dan testen. Daarna live zetten. Blind updaten in wordpress blijft link. Jij baalt. Maar de bezoeker denkt sneller dat er iets raars met zijn PC gebeurt als hij jouw site bezoekt. Want die weet niet wat er serverside allemaal is uitgespookt. Dus die denkt, oei, Russen, Chinezen of een blauw scherm straks dat ik 100 bitcoin moet betalen om al mijn bestanden weer terug te krijgen.

Bij de oudste TV stations deden ze dat ook. Ging er wat mis, dan kwam er een bordje met "Even geduld a.u.b.". Dat was ook omdat de mensen in de huiskamer niet gingen denken dat die dure TV, waar ze drie vakanties voor hadden opgegeven, kapot was. En er dan met harde klappen juist meer kapot aan gingen maken dan er kapot was.

"Er is iets mis op onze server" en "we zijn er mee bezig maar het kan even duren" begrijpt iedereen. Denk altijd eerst aan je bezoekers. Beter voor je rankings. Maar geeft je ook de rust om alles goed uit te zoeken. Want als je ketchup op je witte hemd hebt, moet je nooit in paniek gaan wrijven. Dan zit het binnen tien minuten tot op je schoenen en je autosleutels plakken.
10-11-2019, 11:59 door Anoniem
Wat zijn de ervaringen met Winmerge hier?

Hoeveel website eigenaren laten hun Word Press site monitoren en onderhouden,
bij Sucuri of Immuniweb bijvoorbeeld of.....
gaan toch maar liever naar Beun de Haas aan de overkant van de straat?

Wat is de kleine groep die zelf op sinks en sources scant, die fuzzt en lint en eigen pentesting verzorgt?
Ik bedoel de ware amateur met de relevante kennis in huis om "best policies" te draaien en blijven draaien.
Niet alleen een gelikte site produceert, maar ook een naar de stand van zaken zeer veilige aflevert.

Wie is als Technisch IT student met netwerk-opleiding al tijdens de studie gestart bij een ontwerp-bedrijf
en kent inmiddels het klappen van de zweep van back-end en front-end development?
Hee, boys, we rekenen op jullie thans in deze bange donkere Interwebz dagen.

Zullen we daar dan niet maar eens mee beginnen met z'n allen en voor gaan opleiden?
Dan worden we wellicht weer voorbeeld-natie? Waarin een klein land groot kan zijn, weet je nog oudje?

Iedereen in de wereld mee laten doen met een verplichte "Upgrade & update & patch all and everything day".

Voor velen is het glas altijd half vol, maar er zijn voor ieder wel eens momenten,
dat het echt half leeg lijkt. Dan steeds werd ik over die gedachte heen geholpen.
door figuren als Bitwiper hier en Briolet, Erik van Straten, Krakatau.

Zelfs karma4 kon me niet meer in de put werken. Dat zegt toch wel iets.

We moeten die "total overhaul"slag toch eens gaan maken, mensen.

Anders vertellen echt anderen wat we moeten doen en vooral moeten laten (Alphabet & consorten).

Wat? Ik ben al lang begonnen, man. "Web Developer has access to this site, IP relations cleansed".

Nou jij nog.

#sockpuppet
10-11-2019, 13:45 door Tintin and Milou
Door Anoniem: Heerlijk dat nog niemand heeft gepost dat je geen wordpress moet gebruiken.
Geef ik in mijn eerste post al al. Maar dat hoeft nog steeds niet de beste oplossing te zijn. Ook daar kunnen lekken in zitten, of via een server hack kan de site misbruikt worden.

Ik heb een computer spelletje dat Pong heet. Daar kun je mee tennissen op je TV. Dat heb ik al 45 jaar niet hoeven updaten. En het werkt nog perfect. Het nadeel is dat je er alleen mee kunt tennissen op je TV.
Maar dat wil niet zeggen, dat er geen bugs in zitten, of dat het nu nog goed zou werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.