{"id":487,"date":"2015-04-15T13:31:25","date_gmt":"2015-04-15T13:31:25","guid":{"rendered":"http:\/\/www.wpbeveiligen.nl\/?p=487"},"modified":"2020-03-08T07:04:28","modified_gmt":"2020-03-08T06:04:28","slug":"hoe-vindt-wpbeveiligen-een-hack-of-backdoor","status":"publish","type":"post","link":"https:\/\/wpbeveiligen.nl\/hoe-vindt-wpbeveiligen-een-hack-of-backdoor\/","title":{"rendered":"Hoe vindt WPbeveiligen een hack of backdoor?"},"content":{"rendered":"<p>Een hackfile of backdoor in de 1500 tot 3500 bestanden vinden die een WordPress website gemiddeld aanstuurt,\u00a0<strong>lijkt<\/strong> onmogelijk.<\/p>\n<h2>Zoeken naar een speld in een hooiberg<\/h2>\n<p>Als je website lekken bevat waarmee bots bestanden op je server kunnen zetten dan verspreiden ze die het liefst zo onopvallend mogelijk.<br \/>\nDenk hierbij aan de uploads mappen, dan zit je toch al snel 5 mappen diep vanaf de root.<\/p>\n<p>Als je dan bedenkt dat hackbestanden in php worden neergezet tussen al je andere bestanden met telkens nieuwe bestandsnamen en trucs begrijp je dat er kennis en ervaring nodig is om die bestanden te vinden.<\/p>\n<p>Enkele tips hoe ik dat doe wil ik je wel geven, maar al mijn overige tips blijven natuurlijk wel &#8220;het geheim van de smid&#8221;.<\/p>\n<p><strong>Methode 1 &#8211; Hack bestanden vinden op\u00a0wijzigings\u00a0&amp; aanmaakdatum<\/strong><\/p>\n<p>Bestanden die via een bot worden toegevoegd zijn vaak op een ander tijdstip toegevoegd dan de rest van je bestanden. In 99% van de gevallen later na de start van je website. Hoe bekender je website wordt des te groter de kans dat deze gevonden wordt door bots die graag schadelijke bestanden inzetten.<br \/>\nLet dus op het tijdstip van wijziging of plaatsing.<\/p>\n<p><strong>Methode 2 &#8211; Wat hoort er niet thuis in WordPress?<\/strong><\/p>\n<p>Zoek de verschillen, ik weet zo ongeveer uit mijn hoofd 80% van alle bestanden die in WordPress horen te staan. Als ik daar dan ineens een options.php of model.php of 312.php zie staan, weet ik al hoe laat het is en kijk ik even welke code erin staat voordat ik op delete druk.<\/p>\n<p><strong>Methode 3 &#8211; Scannen op de code in de bestanden<\/strong><\/p>\n<p>Ik heb diverse scanmethodes die zowel geautomatiseerd als handmatig kunnen kijken in diverse bestanden tegelijk.<br \/>\nHiermee zoek ik dus op:<\/p>\n<ul>\n<li>frames<\/li>\n<li>base64<\/li>\n<li>eval<\/li>\n<li>cookie<\/li>\n<li>inject<\/li>\n<li>p.a.c.k.e.d<\/li>\n<li>display: none \/ visibility: hidden<\/li>\n<li>En meer<\/li>\n<\/ul>\n<p><strong>Methode 4 &#8211; Search in de database<\/strong><\/p>\n<p>Met een programma en de gebruikelijke servertools, doorzoek ik de mysql database op backdoors, users die er niet horen, content die niet zichtbaar is en meer.<\/p>\n<p><strong>Methode 5 &#8211;\u00a0Google webmaster tools<\/strong><\/p>\n<p>Google webmaster tools laat vaak als eerste van allen weten wanneer een website malware en phishing bestanden bevat. Daar kan handige informatie uit komen zodat je de hack kunt aanpakken.<\/p>\n<p>Dit zij enkele methodes die ik gebruik. Er zijn er veel meer en elke website vereist zijn eigen extra aanpak om een hack te vinden. Websites met meer als 10 plugins vereisen weer controles op diverse plekken die je niet zou verwachten. Oude serversoftware of open servers vereisen ook een andere aanpak.<\/p>\n<p>Globaal gezien komt het erop neer dat de websites eerst grondig worden nagekeken en ge-evalueerd waarna er een steeds verfijnderde search plaatsvindt om alles eruit te halen en uiteindelijk te beveiligen.<\/p>\n<p><em>Let op: het verwijderen\u00a0van een spamscript, malware syntax of frame is alleen\u00a0het begin. Het dichten van het lek en beveiligen van de website is het uiteindelijke doel!<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Een hackfile of backdoor in de 1500 tot 3500 bestanden vinden die een WordPress website gemiddeld aanstuurt,\u00a0lijkt onmogelijk. Zoeken naar een speld in een hooiberg Als je website lekken bevat waarmee bots bestanden op je server kunnen zetten dan verspreiden ze die het liefst zo onopvallend mogelijk. Denk hierbij aan de uploads mappen, dan zit [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":488,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[64,65],"_links":{"self":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/487"}],"collection":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/comments?post=487"}],"version-history":[{"count":0,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/487\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media\/488"}],"wp:attachment":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media?parent=487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/categories?post=487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/tags?post=487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}