{"id":11496,"date":"2018-09-16T06:47:37","date_gmt":"2018-09-16T04:47:37","guid":{"rendered":"https:\/\/wpbeveiliger.nl\/?p=11496"},"modified":"2023-12-26T16:58:22","modified_gmt":"2023-12-26T14:58:22","slug":"het-experiment-een-nulled-beveiligingsplugin-downloaden","status":"publish","type":"post","link":"https:\/\/wpbeveiligen.nl\/het-experiment-een-nulled-beveiligingsplugin-downloaden\/","title":{"rendered":"Het experiment: Een nulled beveiligingsplugin downloaden"},"content":{"rendered":"

Als je nog niet bekend bent met Nulled plugins: het zijn “gratis” premium plugins die malware bevatten.<\/strong>
\nNulled plugins worden door criminelen gekocht, voorzien van malware en dan gratis aangeboden.<\/p>\n

De paradox<\/h2>\n

Een antivirus plugin die hacks en hackers buiten moet houden, die gehackt is?!<\/p>\n

Dat is hetzelfde als een beveiliger in je winkel zetten van Dief & Co<\/p>\n

Een beveiliger die iedere ochtend netjes op tijd komt met een lege rugtas, graag overwerkt en met een volle rugtas weer naar huis gaat.<\/p><\/blockquote>\n

Schijnveiligheid!<\/p>\n

Het bijzondere is nog dat er genoeg mensen zijn die illegaal premium plugins downloaden zonder daar netjes voor te betalen en dus in de val van de hackers trappen.
\nVelen hebben niet door dat de website vanaf het moment dat de plugin actief wordt, spam verstuurt\u00a0of bezoekers de eerste sessie doorsturen naar een website waar je kunt gokken of andere vreemde items kunt kopen.<\/p>\n

Dat is nadelig voor je positie in Google en voor je omzet aangezien je bezoekers jouw website zo niet te zien krijgen.<\/p>\n

Het experiment<\/h2>\n

Wij krijgen geregeld te maken met WordPress sites die gehackt zijn doordat de programmeur de plugins niet netjes gekocht heeft maar gewoon illegaal gedownload heeft.
\nHet leek ons interessant om eens te kijken wat we binnenhalen als we een Nulled\u00a0plugin voor de beveiliging van WordPress downloaden.<\/p>\n

Ervaring
\n<\/strong>We hebben veel te maken met gehackte websites en weten exact wat we doen. We raden het NIET aan om illegale of Nulled plugins of andere software te downloaden.<\/p>\n

Maatregelen
\n<\/strong>Uiteraard hebben wij geen zin in virussen en we willen natuurlijk geen problemen met de server.
\nOm die reden downloaden we de Nulled plugin op een virtuele computer en zetten we de plugin op een afgesloten server.<\/p>\n

Het vinden van een Nulled plugin
\n<\/strong>Er is niets makkelijker dan googlen en een Nulled plugin downloaden. Je kunt het zo gek niet bedenken of ze bieden het aan. De nieuwste releases en de duurste plugins.<\/p>\n

Maar.. laat je niet in de maling nemen, hoe betrouwbaar en professioneel de website er ook uit ziet: de plugins bevatten hacks!<\/em><\/p>\n

Het is de eerste download al raak!<\/h2>\n

De eerste Nulled plugin scan ik met VirusTotal<\/a>. Het is direct raak.<\/p>\n

Wat je op de onderstaande screenshot ziet zijn de meest rotte hacks: trojans & backdoors<\/strong><\/span>.
\nTrojans werken stiekem op de achtergrond van je website zonder dat je het doorhebt.<\/p>\n

De naam is afgeleid van het paard van Troje. (Wie dat verhaal niet kent, lees het verhaal hier<\/a>)<\/em><\/p>\n

\"resultaat<\/p>\n

Trojans, backdoors, malware..<\/strong><\/p>\n

Als je de plugin activeert, zet je de toegang naar je server & WordPress volledig open. De hackers of een geautomatiseerd script zullen een seintje krijgen welke website nu weer gehackt (beschikbaar) is.
\nZe kunnen werkelijk alles doen wat ze willen:<\/p>\n

    \n
  1. Betaalgegevens aanpassen in WooCommerce naar hun eigen illegale bankrekening<\/li>\n
  2. Gebruikersnamen en wachtwoorden opslaan en doorsturen<\/li>\n
  3. Reclame tonen<\/li>\n
  4. Teksten aanpassen<\/li>\n
  5. Bezoekers doorsturen<\/li>\n
  6. En nog veel meer..<\/li>\n<\/ol>\n

    Maar er is toch serverbeveiliging?<\/h2>\n

    Je zou zeggen dat de beveiliging van de server, van de webhost dit toch wel doorheeft!
    \nMaar dat is niet zo. De server scant wel bestanden, maar de truc is dat de plugins de code fragmenteren en uitvoeren middels bepaalde volgordes. Die volgorde kent alleen de plugin zelf waardoor de server die niet kan of zal uitvoeren om erachter te komen dat er ongewenste code in staat.<\/p>\n

    De code wordt naast de fragmentatie ook nog eens in een onleesbare taal geschreven die alleen uitgevoerd kan worden door de hack zelf.
    \nHet resultaat is tevens niet te beoordelen als zijnde wel-of-niet gewenst aangezien php veel serverrechten heeft.<\/p>\n

    Alleen de meest opvallende en veelvoorkomende hacks worden gedetecteerd waarna ze weggeschreven worden als “suspected”.<\/p>\n

    Hacks hebben wel de gewoonte om de serverkracht uit te buiten, en alles op volle toeren te laten draaien. Wanneer de hoster daar achter komt, zullen ze je hostingpakket uit zetten totdat je het probleem opgelost hebt.<\/p>\n

    De hoster kan overigens niet verantwoordelijk gehouden worden voor hacks die in jouw website zitten. Je huurt te webruimte, en als je die niet goed beheert of om welke reden dan ook gehackt wordt, is het aan jou om dit op te lossen.<\/p>\n

    Aangezien dat ingewikkeld is, heb je hulp nodig of moet je het herstellen van je website laten uitvoeren door professionals.<\/p>\n

    We graven dieper in de plugin<\/h2>\n

    We zijn even afgedwaald maar we graven dieper in de plugin om te zien waar die trojans en backdoors zitten. Kunnen we ze vinden?<\/p>\n

    Op zoek naar gefragmenteerde en gecodeerde code<\/strong>
    \nVaak worden serveropdrachten gecodeerd in Base64 en daarna uitgevoerd met Eval. Dat is het eerste waar we op zoeken.
    \nWe zien enkele regels code verschijnen (notepad++ Find in files).
    \nMaar die lijnen code zien er onschuldig uit.<\/p>\n

    Opvallende bestanden
    \n<\/strong>Een techniek die we toepassen wanneer we een gehackte website herstellen is door simpelweg te kijken naar opvallende bestanden.
    \nVreemde bestandsnamen of php bestanden die niet in bepaalde mappen (Zoals de css map) thuishoren verraden vaak de malware\/hacks.<\/p>\n

    We sluiten een map uit met css, een map met afbeeldingen en een map met txt’s.
    \nMaar niet zo vlug, de afbeeldingen worden ook wel eens uitvoerbaar gemaakt!! (Wij zien geen php extenties in de afbeeldingen en gaan dus verder)<\/p>\n

    Uitsluiten van bestanden
    \n<\/strong>We hebben diverse bestanden uitgesloten, en besluiten de overige bestanden nog maar eens te scannen.<\/p>\n

    Het valt op dat 2 van de 12 antivirusdiensten met het aanpassen van de naam al niet meer doorheeft dat het om de eerder geteste malware gaat.<\/p><\/blockquote>\n

    Kortom, ze stellen vast dat een plugin vals is en onthouden alleen de naam zonder de inhoud vaker te scannen.
    \nDat is ook een van de redenen waarom hacks\/virussen zo lang kunnen doorgaan, wanneer er kleine wijzigingen in code of volgorde-van-uitvoeren aangebracht worden, zijn ze onherkenbaar voor diverse antivirus diensten.<\/p>\n

    Een paar mappen diep
    \n<\/strong>Veel hacks zitten een paar mappen diep, zodat ze minder snel gevonden worden. Ergens tussen de “images” de “uploads\/2015\/etc” of\u00a0 “includes\/colors\/etc”
    \nIn dit geval niet, de trojans hebben ze direct in de “core” bestanden van de beveiligingsplugin gezet.<\/p>\n

    Gevonden!<\/h2>\n

    Uiteindelijk hebben we de hacks gevonden, de code was netjes geschreven.
    \nEr is goed over nagedacht, er zijn meerdere alternatieve methodes ingezet om je website open te zetten voor de rest van de wereld (en vooral voor de hackers zelf).<\/p>\n

    De code tonen we uiteraard niet.<\/p>\n

    Conclusie<\/h2>\n

    Nulled plugins bevatten nog steeds trojans. Bij deze soort van hacks is de code netjes weggewerkt met opmaak zodat hij niet te onderscheiden is van de reguliere code.<\/p>\n

    We doen binnenkort nog meer tests, zoals:<\/p>\n

      \n
    1. Heeft de antivirus plugin door dat het zelf een hack\/virus bevat?<\/li>\n
    2. Kunnen andere antivirus plugins de hack vinden in deze plugin?<\/li>\n<\/ol>\n

      Blijf op de hoogte van de nieuwste berichte via Linked-in<\/a>, of via onze nieuwspagina<\/a>!<\/p>\n

      Side-note 1: hackers<\/h2>\n

      En het mag duidelijk zijn dat hackers en hun criminele activiteiten niet gewaardeerd worden.
      \nDe romance van een hacker zoals je die in films ziet, is niet hoe het in de realiteit eraan toe gaat.<\/p>\n

      Een hacker is iemand die anderen benadeelt om zelf wat winst te maken.
      \nHet frustreert de eigenaren van de website, het frustreert de webhosting en uiteindelijk kost het geld en tijd.<\/p>\n

      Side note 2: Illegale downloads<\/h2>\n

      Tja, als je er zelf voor kiest om iets illegaal te downloaden.. ben je eigenlijk net als de hackers.
      \nJe probeert je voordeel te doen met een plugin of thema zonder de maker ervan zijn verdiende geld te geven.
      \nWe hebben allemaal wel eens iets gedownload van internet toch?<\/p>\n

      Maar nu weet je in ieder geval wat je NIET illegaal van internet moet downloaden.<\/p>\n

      Ps: wij kopen software waar we mee werken netjes. Al is het maar om problemen te voorkomen \ud83d\ude09
      \nVeiligheid boven alles!<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

      Als je nog niet bekend bent met Nulled plugins: het zijn “gratis” premium plugins die malware bevatten. Nulled plugins worden door criminelen gekocht, voorzien van malware en dan gratis aangeboden. De paradox Een antivirus plugin die hacks en hackers buiten moet houden, die gehackt is?! Dat is hetzelfde als een beveiliger in je winkel zetten […]<\/p>\n","protected":false},"author":3,"featured_media":11889,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[50,12],"tags":[62,622,580,558,63,572,69,64,620,65,578,574,576],"_links":{"self":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/11496"}],"collection":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/comments?post=11496"}],"version-history":[{"count":1,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/11496\/revisions"}],"predecessor-version":[{"id":22638,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/11496\/revisions\/22638"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media\/11889"}],"wp:attachment":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media?parent=11496"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/categories?post=11496"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/tags?post=11496"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}