https://wpbeveiligen.nl/wp-content/uploads/2019/07/webshop-beveiliging.png
887
1774
Math
https://wpbeveiligen.nl/wp-content/uploads/2024/12/logo-maat-1.png
Math2019-07-16 11:47:012026-07-15 14:12:44Case #002 – De webshopcriminelenHet probleem
Ik kreeg een e-mail binnen: ik kan niet meer in mijn webshop en ik krijg geen betalingen meer binnen, terwijl er wel door mijn klanten besteld wordt. Help!
Het onderzoek
Inloggen met de gegevens van de website-eigenaar lukte inderdaad niet, maar die konden ook simpelweg verkeerd zijn. Dan maar een wachtwoord herstel uitvoeren, op username kwam de e-mail niet binnen. Achteraf bleek het emailadres aangepast te zijn.
Dan een nieuwe admin aanmaken via de serverbestanden, dit is een kwestie van een code-injectie in de functions.php
Daarmee kwam ik in het admin, daar was te zien dat er meerdere admins aangemaakt waren.
Voor de rest was op het oog weinig te zien, let op dat dit jaren geleden is en 1 van mijn eerste cases was.
Meer onderzoek zou later uitwijzen dat de hackers IP adressen gebruikte die naar Pakistan leidde. Dit kan natuurlijk een VPN zijn, en de ervaring ondertussen leert dat dit net zo goed een omleiding kan zijn vanuit China, Asie, Rusland, noem maar op.
De wijzigingen die in de website optraden gingen razendsnel, zo was uit het server logboek te lezen. Specifieker nog keek ik hiervoor naar de access log van de server, de GET en POST requests.
Daar werd zowel in razend tempo “door de website gebladerd” dit ging om milliseconden werk, duidelijk bots. Tevens waren er later gelijktijdig mensen actief in de website, iets wat ik niet zo heel vaak gezien heb aangezien 99% door bots uitgevoerd word.
Het onderzoek naar bestanden toonde backdoors, wijzigingen, en later zelfs dat personen de beveiligingsplugins handmatig uitzette!
De oorzaak
De logboeken van de server waren niet afdoende op te bepalen of dit door 1 van de plugins kwam die niet geüpdatet was of doordat ze de inloggegevens van de admin te weten zijn gekomen – het hergebruiken van wachtwoorden was in die tijd nog veelvoorkomend.
De jaren erna kwam daar veel meer de nadruk op te liggen; Gebruik niet overal hetzelfde wachtwoord, OOK al is dat een lang wachtwoord.
Paswordmanagers hebben het ook gemakkelijker gemaakt om verschillende en sterke wachtwoorden te genereren en op te slaan voor gebruik.
Maar dat terzijde, de plugin-updates die enorm laat uitgevoerd werden door de klant, het thema dat al 2 jaar niet geüpdatet was.. geeft voldoende mogelijkheden voor hackers en bots om de website in beheer te nemen.
De oplossing
Het eerste wat gedaan is, dat is natuurlijk het verwijderen van de malafide admin gebruikers. Plus het herstellen van het account van de website-eigenaar.
Dat was middels een backdoor van korte duur, want nog diezelfde 10 seconden stonden er weer 4 admin accounts.
Het volledig nalopen van de website, de databestanden en na het verwijderen van de backdoors, het updaten van iedere plugin en ook het premium thema waar een licentie voor aangeschaft moest worden zorgde er uiteindelijk voor dat de admin’s niet direct met een stukje code (backdoor) terugkwamen.
Pogingen om de website opnieuw over te nemen werden volop gedaan, zoals in de logboeken van de server te zien was.
De honderden aanvragen op de adressen waar voorheen de backdoors stonden, de aanvragen op de login pagina, en nog een paar andere trucs die ik hier niet ga noemen werden nog volop toegepast.
Die paden werden zorgvuldig nagekeken, en wat vooral opviel waren de wp-content/themes/thema-naam/ bestanden die volop aangeroepen werden.
Dat bevestigde het vermoeden dat dit een lekke mand was, die vermoedelijk heeft geleid tot de overname van de website door de hackers.
Beveiliging
Professionele beveiliging is ingezet en geconfigureerd, schrijfrechten zijn aangepast, meer gebruikerscontroles werden toegevoegd. Er zijn nog dagen, weken en maanden controles gedaan op bestanden en de logboeken van de server.
Deze eerste case, koste mij 4-5 dagen voordat de hackers er volledig uit waren en uit bleven.
De site is in de toekomst door mij beheerd, wat heeft gezorgd dat die tot op de dag van vandaag nog goed en veilig draait.



