12 feb 2016
Aan de namen van de hack bestanden kun je terugzien dat het gaat om programmeurs, er zit in 50% van de hack bestanden een logische structuur die je als programmeur ontwikkelt.
Enkele van de meest voorkomende hack bestanden:
- test.php
- cache.php
- files.php
- options.php
- view.php
- diff.php
- start.php
- plugin.php
Let op! Deze bestanden zitten ook gewoon in WordPress dus verwijder ze niet zomaar op basis van de naam.
Hoe weet je dan of het een hackfile is?
Er staat 90% van de keren een rommelige brei van code in. Een base64 gecodeerde code zonder logica of opmaak.
Waar kan ik deze hack bestanden opzoeken in mijn site?
In elke map die er is. Hoewel de uploads map favoriet is, aangezien die altijd beschrijfbaar is, plaatst een hacker/hackbot de files in je gehele website.
Als je de bestanden gestructureerd wilt verwijderen
Maak eerst een backup!!
Je kunt je WordPress website in 5 delen opsplitsen:
- WordPress zelf (probeer die volledig te vernieuwen)
- De plugins map
- De themes map
- De uploads map
- De container mappen
De plugins map
Daar hoort alleen een index.php te staan en de plugins.
Vernieuw die waar mogelijk, of kijk op wijzigingsdatum om de hackfiles er tussenuit te halen.
De themes map
Daar staat ook een index.php en 1 thema.
Verwijder de thema’s die je niet gebruikt!
De uploads map
Daar horen GEEN php bestanden te staan. Ieder php bestand kun je verwijderen.
De container mappen
De wp-content heeft vaak alleen een index.php en de mappen 2,3,4 die boven genoemd zijn.
De languages map hoort alleen taalbestanden te bevatten en geen php.
De upgrade map wordt alleen gebruikt voor tijdelijke upgrade bestanden maar is normaliter leeg.
Slot
Het is een behoorlijke klus en vereist nogal wat kennis om de hackfiles er ALLEMAAL uit te halen.
En dan hebben we het nog niet eens over de lijnen hack-code die IN je bestaande bestanden gezet worden.. Ook die kun je vinden door te kijken naar wijzigingsdatum.
En.. die code wordt geïnjecteerd en komt daardoor vaak boven of onderaan de originele code te staan.
Hoe meer je weet hoe gemakkelijker het is om hackfiles te verwijderen.
Succes!
Dankjewel voor de fijne en praktische info! Mijn dite wordt nu ook gehackt en ik kan enkel de steeds terugkerende codes verwijderen. Niet de code die maakt dat het opnieuw genereert.
Dus, mag ik alle bestanden van WordPress zelf, zonder gevaar overschrijven door een juiste versie..?
Het volgende is aan te raden:
1. Maak een backup van je website, data en database (Cpanel/directadmin is het beste dan kun je het terugzetten als je site-admin niet bereikbaar is)
2. Maak een map aan en noem die bijvoorbeeld OUD
3. Sleep alle bestanden van je website – BEHALVE de wp-content & .htaccess & wp-config naar die OUD map
4. Download WordPress en plaats die terug
Kijk dan of de website nog werkt.
Aan te raden is naast het vervangen van de core ook de plugins en indien mogelijk het thema te vernieuwen.
– Let op: compleet vernieuwen niet updaten want dan blijven ongewenste bestanden staan.
Controleer ook of er geen php bestanden in de uploads mappen staan. Die horen daar niet thuis.
Check ook selectief de index.php van de Plugins map, de Thema map, de uploads map. Daar hoort: “Silence is golden” te staan (en de php opener) en geen andere code. (Gemiddelde grootte is uit mijn hoofd 28 kb).
Voorzichtig! Doe dit overigens alleen als je heel goed weet wat je doet. Doe het stap-voor-stap en controleer tussentijds steeds of de website nog werkt zodat je een stap terug kunt draaien als je per ongeluk het verkeerde bestand verwijderd of leeggemaakt hebt.
Bovenstaand artikel is wel nuttig, maar Is het wel nodig om alles handmatig te doen? Er zijn toch ook plugins die malware kunnen vinden of verwijderen?
Malware scanners & WordPress antivirusplugins worden helaas misleid door hackers en hun malware. Ze testen de hacks simpelweg met de scanners en passen de hack aan totdat ze niet meer door de scanner gevonden worden.
Het vervangen van WordPress, de plugins en het thema voor nieuwe downloads zonder besmetting is dan nog de beste optie.
Er moet zoals het artikel beschrijft nog veel meer gebeuren, maar je kunt het helaas niet overlaten aan een malware scanner om alle hacks en backdoors te vinden.