Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld.
Dan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is..
De serverlog’s vinden in Directadmin
De serverlog’s registreren ALLES. Maar dan wel in ruwe servertaal zonder opmaak.
De serverlogs in DirectAdmin vind je na het inloggen onder Your Account » Site Summary / Statistics / Logs » Full usage log
De serverlog’s begrijpen
Er komt nu veel informatie op je af.
Er zit een bepaalde volgorde in waar we je doorheen zullen loodsen zodat je de serverlog’s kunt begrijpen.
- Als eerste zie je het IP adres.
Die wijst naar de computer/router van de mogelijke hacker. - Daarna zie je de datum
Houdt er rekening mee dat de tijd op de server kan afwijken van de lokale tijd - Daarna zie je een GET of POST commando
Die is belangrijk, een hacker zal namelijk POST commando’s aan je server/website geven. - Daarna zie je de url die gevraagd is.
Hier hoor je gewone pagina’s en info te zien die een bezoeker op kan vragen.
Als je url’s ziet zoals XML-RPC.php en andere bestanden op de server kun je ervan uitgaan dat het niet om een gewone bezoeker gaat. - Daarna zie je de USER Agent
Ofwel de browser/besturingssysteem wat gebruikt wordt.
Nu je de serverlog kunt lezen kun je op zoek gaan naar de geschiedenis van je website, en de handelingen van de hacker
Wij spreken hier over hacker maar in 9/10 gevallen gaat het om een script dat uitgevoerd wordt door de hacker of zelfs nog een geautomatiseerd script waar de hacker niet eens meer op let.. die kijkt alleen naar de uitkomsten en de resultaten.
De hack(er) vinden
Zo’n serverlog kan gerust 2000 lijnen bevatten en heb je zelfs alleen nog maar de laatste 24 uur.
(Wij gaan er dan ook vanuit dat je er op tijd achter gekomen bent.. of dat het een terugkerende hack(er) is.)
Waar je op moet letten:
Je zult gaan zoeken naar bepaalde woorden, dat kan je doen door het logbestand in je browser te openen of door je favoriete tekst-editor te gebruiken.
- POST – Zoals eerder genoemd voert een hacker of script een commando uit op je website om iets gedaan te krijgen.
- XML-RPC en andere PHP bestanden. Een bezoeker opent pagina’s en berichten en GEEN php bestanden.
- IP Adressen uit vreemde landen. Als je bezoekers hebt uit China, Rusland, Duitsland, Frankrijk terwijl je een Nederlandse website hebt.. dan is het uitermate vreemd als ze een groot aantal pagina’s en/of bestanden gaan lezen.
Gebruik de IP Location finder om te bepalen uit welk land een gebruiker komt .
Als programmeur doe je dit natuurlijk met Notepad++ of een andere code editor waardoor je direct lijnen kunt markeren etc.
Kennis is macht, maar nog geen overwinning
Nu je de logboeken kunt lezen én de hacker hebt gevonden én weet welke acties die hacker heeft ondernomen, kun je de gevolgen gaan terugdraaien van de hack.
In veel gevallen heeft de hacker bestanden geplaatst, of tekst-reclame. Die kun je verwijderen of middels het terugzetten van een backup ongedaan maken.
Maar! Dan ben je er nog niet
De hacker is binnengekomen, handmatig of met een script.. en dat zal weer gebeuren tenzij je de website beveiligt met een WordPress Antivirus plugin.
Configureer de plugin goed, volg alle stappen die nodig zijn om je WordPress veilig en hacker-proof te maken!
En zoals altijd, maak backups – backups, en nog meer backups!
Komen alle GET en POST commando’s van hackers?
90% van de GET en POST commando’s komen van je website zelf.
Ongeveer 10% komen van hackers ofwel de hack-scripts die dat regelen.
Op het moment dat je website “succesvol gehackt” is sturen hackers/scripts soms iedere minuut een request om te zien of ze de zaak nog in beheer hebben. In dat geval veranderd de situatie en zie je logboeken die aantonen dat 60% van de GET en POST commando’s van hackscripts zijn met wisselende IP’s. Dit is meestal een botnet met een centraal systeem erachter.
Dat kan dus een controle commando zijn, of een commando om de hack weer uit te voeren of naar de server te schrijven.
In de logfile van een site van mij zie ik bijvoorbeeld dit:
……………… anon-54-36-148-80.ahrefs.com – – [13/Dec/2019:01:06:55 +0100] “GET /schoenen-c-1_3/seacoast-groencvrqtazf-p-111.html HTTP/1.1” 404 580 “-” “Mozilla/5.0 (compatible; AhrefsBot/6.1; +http://ahrefs.com/robot/)”
Er staan een nog veel meer regels die naar kleding verwijzen in de logfile. Op de site staat nergens iets over kleding.
Is dit een poging tot hacken of ben ik al gehackt? Ik heb wel Anti-Malware from GOTMLS.NET draaien en die geeft na scannen niets verdacht. Verder merk ik geen vreemde dingen op de site.
Het zijn GET requests, die worden grootschalig op websites uitgevoerd.
Meestal na aanleiding van een bekend lek in een plugin, thema of WordPress release.
Maar aangezien hackscripts geautomatiseerd zijn en veelal brute-force aanvallen doen zie je heel veel requests die nergens toe leiden.
Je ziet ook bij jou dat het een 404 oplevert. Dat is goed, daar kan een beveiligingsplugin op blokkeren. Na een x aantal 404’s.
Als de urls ineens naar bestaande pagina’s gaan leiden heb je een probleem dan is het ze daadwerkelijk gelukt om die content aan te maken in je website.
Als een IP adres vaak dit soort verzoeken doet moet die geblokkeerd worden door de beveiligingsplugin. Maar dan is er wel weer een bot van een andere PC/IP die verdergaat en zoekt naar urls van make-up of andere ongein. Je zult altijd aanvragen blijven zien, ze komen grotendeels van andere gehackte websites/servers.. hackers hebben daardoor altijd wel beschikking tot nieuwe IP adressen en “vertrouwde” computers.