Tag Archive for: malware

WordPress hack in een ICO bestand?

/2 Comments/in

Een WordPress website beveiligen is alleen mogelijk als je ook weet waartegen je de website moet beschermen. Wat gebeurt er achter de schermen van een WordPress website? Welke hacks zijn er? Hoe werken die hacks? We zullen nu een hele bijzondere hack bespreken, een hack die je zonder kennis nooit zult vinden.

We evalueren hier de “ICO WordPress hack”

[notif-alert]Disclaimer: Dit artikel is bedoeld om van te leren, om WOrdPress eigenaren en webdesigners op de hoogte te brengen van de risico’s. Het is strafbaar om websites van anderen te hacken. Wij ontmoedigen dit strafbare gedrag, en delen daarom ook niet de volledige codes. Je zult geregeld geblurde stukken code zien, en bepaalde informatie zullen wij om veiligheidsredenen weglaten.[sluit-notif]

Deze WordPress hack begint in de index.php

In de index.php’s hoort alleen [code]<?php // Silence is golden[sluit-code] te staan. Dit bestand met alleen een comment vangt bots op die de map probeert te benaderen zonder een specifiek doel. En met de comment “// Silence is golden” gebeurt er in dat bestand dus gewoon helemaal niets.

In deze gehackte website staat iets heel anders dan Silence is golden.
Op het oog lijkt dit een onschuldig lijntje onbruikbare code:

een simpele lijn code

Maar, wat staat daar nu eigenlijk?!

Dit: wp-content/plugins/vc_cliboard/.15df3669.ico

Een pad naar een ico bestand? Een .ico is normaal gesproken een icoontje. Nou, dat zal dan geen probleem zijn toch? Maar waarom is het dan met onleesbare code geschreven?

Een .ico bestand is vrij onschuldig. Normaal gesproken 😉
Denk bijvoorbeeld aan de favicon.ico
Niets mis mee!

Een ico valt ook totaal niet op wanneer je op de server naar een hack zou zoeken. Je zou erover heen kijken op de server. Zeker als je bedenkt dat sommige plugins of mappen gerust 20 iconen kunnen bevatten..

Uit ervaring weet ik natuurlijk dat .ICO bestanden vaker gebruikt worden door hackers in virussen/hacks.
Als een beetje pech hebt heeft een virus of hack deico’s in elke map van de server-site gezet.. Die hebben we in het verleden vaak uit iedere map mogen verwijderen.

We gaan dus even op bezoek bij dit ICO bestand

Aangezien we deze map in een rar/zip hebben staan pak ik de ico er even bij.
Mijn Norton antivirus denkt er anders over, en gooit hem weg..

De ICO openen vanuit winrar met Notepad++, succesvol!

Een wordpress hack van 2 meter

2 meter PHP gebrabbel! (alleen een klein stukje wordt hier getoond)

Je zou denken dat dit onmogelijk te decoderen is! 2 meter code!

Gelukkig kun je de groene letters al weghalen die je in de screenshot hierboven ziet, dat is commentaar.
Kortom: die groene tekst wordt niet uitgevoerd, maar overgeslagen wanneer het bestand uitgevoerd wordt.

Als de groene code overgeslagen wordt en de andere code gedecodeerd hou je de volgende code over:
[code]$_r2l3h5 = basename(trim(preg_replace(rawurldecode(“%2F%5C%28.%2A%24%2F”), ”, __FILE__)));[sluit-code]

Dit is een variabele die naar een bepaald bestand/adres wijst.
Later in het script zal deze opgeroepen worden en gebruikt worden bij een ander stuk code.

Wat een omslachtige hack met al die omwegen?!

Deze hack bestaat uit meerdere omwegen en losse bestanden die op zichzelf nutteloos en onschuldig lijken, dit is gedaan om de serverbeveiliging te misleiden.

De server ziet nu losse bestanden, losse regeltjes code en weet niet hoe die uitgevoerd moeten worden. De server kent de volgorde niet, de relatie tussen de bestanden of slaat het uitvoeren van het bestand tijdens de scan volledig over omdat het een ico is.

Het uiteindelijke doel van de hack:
Als de beveiliging van de server niet weet wat het is, is de kans groter dat het op de server zal blijven staan. De hackers willen de code zo lang mogelijk kunnen gebruiken. Vaak nog lang nadat het zijn doel al heeft gediend.

Meerdere methodes om malware te verbergen

Er worden meestal meerdere methodes gebruikt, je ziet hier diverse technieken in 1 lijn code.
+ Het plaatsen van de code in een variable
$var = “stuk script”;

+ Het gebruik van tekens in plaats van de gebruikelijke taal-letters
W@t1sD!t

+ Het weghalen van spatie’s en/of andere code-tekens
gewoonlekkerallesacherelkaar;<?zonderopmaak

+ Code achterstevoren schrijven
<? “nerovetsrethca” ohce php?>

Het is vrij normaal voor hackers om scripts te schrijven die als het ware 3 tot 7x omgedraaid zijn. Binnestebuiten, ondersteboven, in delen.. het maakt de hacker niet uit. Als de server en eventuele beveiligers er maar niets van kunnen maken en het bij zoekopdrachten niet te zien krijgen.

Zie het als een brief, waarvan je niet direct wilt dat iemand die leest. Die vertaal je eerst naar bijvoorbeeld het Italiaans, je schrijft de brief gespiegeld over, je scheurt de brief in 5 delen en plakt deel 1,2,3 tussen 5 en 4.. en ga zo maar door. Voor een willekeurige ontvanger is die brief redelijk onleesbaar geworden, tenzij hij de instructies krijgt hoe die gelezen moet worden.

Instructies hoe een bestand uitgevoerd moet worden

De instructies – hoe het bestand te lezen is – of zelfs de daadwerkelijke activatie van een hackbestand komen vaak van buitenaf. Dan pakt het bestand op jouw server commando’s aan van een externe server.

Die instructies heeft jouw eigen server en de serverbeveiliging niet in handen, en kon het bestand daardoor nog niet decoderen.

Oké en nu betreffende deze ICO, wat gebeurt er?

Nou, je voelt hem al aankomen. De 2 meter aan codering is vanaf deze kant NIET uit te voeren ten einde die te begrijpen.

Maar, aangezien het om een hack gaat die uitgevoerd was waarna de klant pas bij ons aanklopte..

Kunnen we je wel vertellen wat het script ongeveer deed:

  1. Aanmaken nieuw account met beheerdersrechten
    Tja, het is vrij simpel om vanaf de server commando’s te geven aan de database of WordPress om een gebruiker aan te maken met beheerdersrechten. Van daaruit is alles mogelijk, dat hoef ik je niet uit te leggen.
  2. Aanmaken van backdoors
    Er zijn verschillende bestanden op de server aangemaakt, die verzekerde dat er iedere keer een nieuwe beheerder aangemaakt werd. Ook nadat die verwijderd was uit het admin.
  3. Injecteren van links
    Ook wel black-hat seo genoemd. Er worden bepaalde woorden en links in de bestaande pagina en blogberichten gezet die verwijzen naar de website van een betalende klant, of naar de webshop van een onguur product.

Meestal worden er een reeks van acties uitgevoerd, de één opvallender dan de andere.

Oké wat leren we hiervan?

Als je een WordPress website hack-vrij wilt maken moet je letten op het volgende:

  1. Verwijder ook onschuldig ogende ICO bestanden!
    En ja, deze truc doen ze ook met jpeg’s en png’s
  2. Let op welke accounts in je admin te vinden zijn
    Dit kunnen nieuwe accounts zijn met beheerdersrechten, die je moet verwijderen, en in enkele gevallen worden bestaande accounts met beheerdersrechten gekaapt en voorzien van een nieuw wachtwoord. Verander of reset die accounts dus voor andere beheerders zodat je zeker weet dat het wachtwoord niet aangemaakt is door een hackbot of hacker
  3. Controleer je website geregeld op de content en links
    Dit doe je met de Sucuri Malware Scanner, en door je website te bekijken in Google met site:jewebsite.extensie (Uiteraard jouw website-adres in de plaats voor jewebsite.extensie)
    Loop even door alle Google resultaten heen, zie je vreemde teksten? Woorden en termen die je zelf niet gebruikt? Klik dan op de link en controleer je artikel.

Je website beveiligen, controleren en hack-vrij houden

Je begrijpt dat het beveiligen van je WordPress website tegen dit soort trucs next-level werk is.
Dit doe je niet even als website-eigenaar en zelfs niet als ervaren websitebouwer..

De simpele controles kun je wel doen, en je kunt een webhoster kiezen die de serverbestanden scant met een antivirus programma, maar zelfs dan is het niet gegarandeerd dat je de hack opmerkt of dat de webhoster de hacks opmerkt met het antivirus programma.

Laat het beveiligen en onderhouden daarom aan ons over.

Wat wij doen om hacks en malware tegen te houden:

  • Periodieke scans, op inhoud, hackerscode, Google resultaten, bekende hacks
  • Het updaten van de website & het verwijderen van lekke plugins
  • We maken backups om bestanden te vergelijken
  • We gebruiken premium diensten en firewalls
  • Het beveiligen tegen meer dan 80 zwakke punten
  • Het hanteren van veilige werkwijzes
  • Het adviseren betreffende plugins en gewoontes
  • En veel meer!

Als er dan nog een hack doorheen komt, herstellen we die snel en kosteloos voor je.

Kortom, de grootste garantie dat je een veilige website hebt, en houdt.

Laat je website beveiligen tegen WordPress hacks!

Meld je website nu snel aan

Dé WordPress Hack Check

/8 Comments/in

Wil je weten of je WordPress website gehackt is? Of je WordPress website op dit moment hack-vrij is of malware bevat? Of hackers nu toegang hebben tot je website, tot je admin?

Dan ben je bij ons aan het juiste adres!

Wij zijn al jarenlang full-time actief als beveiliger en onderzoeker van WordPress websites.

De officiële Hack Check

Wij hebben de officiële Hack Check ontwikkeld voor WordPress websites, webshops en hele grote WordPress websites.

Aan de hand van een uitgebreide checklist lopen we door de gehele website op zoek naar hacks, backdoors, malware.

Wij controleren grondig en effectief. Binnen 48 uur weet jij of je website door een hacker geïnfecteerd is en krijg je een uitgebreid PDF rapport.

Vraag de Hack Check nu aan

Waarom EVEN EEN HACK VERWIJDEREN niet realistisch is

/0 Comments/in

Ik hoor het iedere maand wel 1x: ,,kijk even op de server of je wat tegenkomt en verwijder HET dan”.

Dit is zelfs een vaak toegepaste strategie van webbouwers, die neuzen door de server heen, verwijderen wat en gaan er dan vanuit dat de hack wel weg is.

Is het vreemd om te denken dat een hack 1,2 of 3 bestanden bestaat?

Denken dat de hack uit enkele bestanden bestaat is niet eens zo heel gek. Ik begrijp het idee!

Helaas werken kwaadaardige hackers erg fanatiek aan een lek, een hackscript of stuk malware.
Onderdeel van hun hackscript is vaak lijn code die naar de hoofdmap verwijst, en malware plaats in iedere onderliggende map.

Een extra kopietje van het script, kost niets extra hé!
De server werkt wel..

Hacks boven de PUBLIC_HTML?

Ja mensen, het is mij ook overkomen voordat ik met een checklist ging werken. Ik maakte de website 10x schoon, brandschoon. Alles IN de public_html, httpdocs.
Maar die ratten zetten de malware helaas ook boven de public_html als daar schrijfrechten zijn.

Och, die paar mapjes in een WordPress website.. toch?

Je verbaast je misschien, want een standaard WordPress installatie.. waar de plugins en thema’s nog bijkomen bevat al meer dan 3000 bestanden en 307 mappen!!

Huh waar dan? Nou, ga maar na, de hoofdmap waar WordPress in staat begin je al met 3 mappen:
wp-admin + wp-content + wp-includes
> wp-content > plugins / themes / upgrade / languages
> Uploads / jaartallen / maanden /

12 mappen per jaar, doe dat eens 6 jaar lang.. 72 mappen! Alleen al in de uploads map.

EEN GIGA VERSTOPRUIMTE dus. En er hoeft maar 1 mapje te zijn met een actief stuk code waardoor hackers zo naar binnen blijven lopen. De zogenoemde backdoor.

Backdoors – Klein, vals, maar een GROOT gevaar!

Even vertaald, de achterdeurtjes.
Die maken nieuwe WordPress administratoren aan, geven belangrijke data door aan hackers. Ze maken letterlijk alles mogelijk!
En zo’n backdoor, dat hoeft maar 5 regels code te zijn in een bestandje.. of wanneer je het in base64 opbouwt.. 1 regel code. (code hieronder ter voorbeeld, deel van een backdoor)

In de meest brutale backdoors komen we zelfs telegram bots tegen, die sturen de nieuwe gegevens van klanten, aankopen en admins direct door. Waardeloos!

Hackers-truc: valse mapnamen

Je moet niet verbaasd zijn als je mappen tegenkomt die er niet horen, maar wel heel legitiem lijken.
Zelfbedachte mappen (niet te verwarren met zelfbedachte moppen) die sprekend lijken op legitieme mappen, en ook nog eens leeg lijken te zijn of gevuld met de “juiste” bestanden..
> root
> index
> uplaods / 2023
> wp-apmin

valse mapnamen

Daar moet goed naar gekeken worden. Even met de muis langs alle mappen neuzen en “wat” deleten werkt niet.

101 andere trucs

Er zijn zoveel trucs, en ik zie wekelijks nieuwe voorbij komen. Backdoors, fishing, spamming, datadiefstal…
Hopelijk begrijp je nu wel dat “EVEN door de bestanden lopen en verwijderen wat je tegenkomt” geen optie is.
In ieder geval, geen goede optie!

Je website hack-vrij laten maken

Heb je een WordPress website: klein, groot, zakelijk, webshop die je VOLLEDIG hack-vrij wilt laten maken?
Dat kan! Dat doen wij.

Meldt je website aan voor hack-herstel

Malware van de server verwijderen – dit is waar je moet kijken!

/0 Comments/in

Hackers – eigenlijk geautomatiseerde hackbots/scripts, doen er alles aan om hun malware goed te verstoppen in de server tussen je WordPress core bestanden, de uploads mappen, of tussen de plugins. Er zit een bepaalde strategie achter het plaatsen van malware en zijn er specifieke mappen waar hackers hun malware meestal verstoppen.

In welke mappen kun je vaak Malware vinden bij een hack?

  1. Kijk in de map boven de public_html
    De map waar je website staat heet meestal public_html, www, of httpdocs.
    Boven (of voor) die mappen heb je nog meer servermappen staan, en met een beetje pech heeft een hacker of script toegang tot die mappen boven gekregen en daar de malware verstopt…
    Ps: Hou er rekening mee dat je soms niet eens toegang tot die hoger gelegen mappen hebt met een standaard ftp programma en een standaard ftp account.
    boven de public html
  2. Kijk in de uploads mappen
    Veel plugins hebben schrijfrechten en toegang tot de uploads mappen die vrij beschrijfbaar zijn.
    Er hoeft daarom alleen maar een kleine aanpassing in een lekke plugin gedaan te worden om ongewenste bestanden op te slaan.
    Met een uitgebreide mappenstructuur van jaren en maanden zijn er genoeg plekken om malware te verstoppen!
  3. Kijk in de WordPress basismappen
    In WordPress zelf worden ook vaak hackers bestanden gezet, denk aan de wp-includes en de wp-admin map.
    in de themamap
  4. Kijk in plugins & thema mappen
    Veel websites hebben tussen de 7 en 30+ plugins, voldoende ruimte om een paar ongure bestanden te plaatsen!
    in wordpress

Waarom de mappen boven de public_html & de uploads mappen de grootste voorkeur genieten bij hackers en hackbots? Dat is omdat de map boven de public_html + de uploads mappen niet ge-update worden waardoor de malware er langer kan blijven staan.

Sluw hè?

Naast de beste verstopplekken om malware neer te zetten worden er ook diverse verstop-strategieën gebruikt. Hackers en bots hebben strategieën om de malware zo lang mogelijk in je website te houden.

De strategie bij het plaatsen van malware plaatsen

Strategie 1: het script zet de malware in elke map!
Als een hack eenmaal in je server is binnengedrongen gaat zo’n hack in 20% van de gevallen over tot het verstoppen van malware in ELKE MAP. In de hoop dat je er 1 vergeet wanneer je de hack probeert te verwijderen. De kans dát je de malware vind, of dat de malware door de server ontdekt wordt is groter, maar ja.. zie maar eens GEEN enkele map over het hoofd te zien bij het verwijderen!

Strategie 2: het script zet de malware alleen 3 mappen diep

Voor een script is het gemakkelijk om alleen malware te plaatsen in mappen met 3 lagen bovenliggende mappen. De malware wordt op deze manier zo ver mogelijk UIT HET ZICHT geplaatst.

Strategie 3: het script zet de malware IN een bestaand bestand

Dit zijn de ergste! Dan is de malware IN een bestaand bestand geplaatst. Je zult dan heel specifiek naar een lijn code op zoek moeten.. een speld in een hooiberg als je niet weet hoe je moet zoeken!

Oké, je hebt nu een idee WAAR je malware kunt gaan zoeken. Nu vraag je jezelf natuurlijk af: hoe herken ik een virusbestand, malware bestand of hack tussen tientallen legitieme noodzakelijke bestanden?

Dat kun je in het volgende artikel lezen: ,,Zo herken je een virus bestand“.