{"id":9581,"date":"2017-09-10T11:36:25","date_gmt":"2017-09-10T11:36:25","guid":{"rendered":"http:\/\/www.wpbeveiligen.nl\/?p=9581"},"modified":"2020-04-30T10:22:42","modified_gmt":"2020-04-30T09:22:42","slug":"wordpress-hackers-vinden-serverlogs","status":"publish","type":"post","link":"https:\/\/wpbeveiligen.nl\/wordpress-hackers-vinden-serverlogs\/","title":{"rendered":"WordPress hackers vinden via de serverlog’s"},"content":{"rendered":"
Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld. De serverlog’s registreren ALLES. Maar dan wel in ruwe servertaal zonder opmaak. <\/a><\/p>\n Er komt nu veel informatie op je af. <\/a><\/p>\n Nu je de serverlog kunt lezen kun je op zoek gaan naar de geschiedenis van je website, en de handelingen van de hacker Zo’n serverlog kan gerust 2000 lijnen bevatten en heb je zelfs alleen nog maar de laatste 24 uur. Waar je op moet letten:<\/strong><\/p>\n Je zult gaan zoeken naar bepaalde woorden, dat kan je doen door het logbestand in je browser te openen of door je favoriete tekst-editor te gebruiken.<\/p>\n Als programmeur doe je dit natuurlijk met Notepad++<\/a> of een andere code editor waardoor je direct lijnen kunt markeren etc.<\/p>\n Nu je de logboeken kunt lezen \u00e9n de hacker hebt gevonden \u00e9n weet welke acties die hacker heeft ondernomen, kun je de gevolgen gaan terugdraaien van de hack.<\/p>\n In veel gevallen heeft de hacker bestanden geplaatst<\/a>, of tekst-reclame<\/a>. Die kun je verwijderen of middels het terugzetten van een backup ongedaan maken.<\/p>\n De hacker is binnengekomen, handmatig of met een script.. en dat zal weer gebeuren tenzij je de website beveiligt met een WordPress Antivirus plugin<\/a>.<\/p>\n Configureer de plugin goed, volg alle stappen die nodig zijn om je WordPress veilig en hacker-proof te maken!<\/p>\n En zoals altijd, maak backups<\/a> – backups<\/a>, en nog meer backups<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":" Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld. Dan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is.. De serverlog’s vinden in Directadmin De serverlog’s registreren ALLES. Maar dan […]<\/p>\n","protected":false},"author":3,"featured_media":9585,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[62,63],"_links":{"self":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/9581"}],"collection":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/comments?post=9581"}],"version-history":[{"count":0,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/9581\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media\/9585"}],"wp:attachment":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media?parent=9581"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/categories?post=9581"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/tags?post=9581"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n<\/strong>
\nDan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is..<\/p>\nDe serverlog’s vinden in Directadmin<\/h2>\n
\nDe serverlogs in DirectAdmin vind je na het inloggen onder Your Account<\/em> \u00bb\u00a0Site Summary \/ Statistics \/ Logs<\/em> \u00bb Full usage log
\n<\/a>
\n<\/em><\/p>\nDe serverlog’s begrijpen<\/h2>\n
\nEr zit een bepaalde volgorde in waar we je doorheen zullen loodsen zodat je de serverlog’s kunt begrijpen.<\/p>\n\n
\nDie wijst naar de computer\/router van de mogelijke hacker.<\/li>\n
\nHoudt er rekening mee dat de tijd op de server kan afwijken van de lokale tijd<\/li>\n
\nDie is belangrijk, een hacker zal namelijk POST commando’s aan je server\/website geven.<\/li>\n
\nHier hoor je gewone pagina’s en info te zien die een bezoeker op kan vragen.
\nAls je url’s ziet zoals XML-RPC.php en andere bestanden op de server kun je ervan uitgaan dat het niet om een gewone bezoeker gaat.<\/li>\n
\nOfwel de browser\/besturingssysteem wat gebruikt wordt.<\/li>\n<\/ol>\n
\n<\/strong>
\nWij spreken hier over hacker maar in 9\/10 gevallen gaat het om een script dat uitgevoerd wordt door de hacker of zelfs nog een geautomatiseerd script waar de hacker niet eens meer op let.. die kijkt alleen naar de uitkomsten en de resultaten.<\/p><\/blockquote>\nDe hack(er) vinden
\n<\/strong><\/h2>\n
\n(Wij gaan er dan ook vanuit dat je er op tijd achter gekomen bent.. of dat het een terugkerende hack(er) is.)<\/p>\n\n
\nGebruik de IP Location finder<\/a> om te bepalen uit welk land een gebruiker komt .<\/li>\n<\/ol>\nKennis is macht, maar nog geen overwinning<\/h2>\n
Maar! Dan ben je er nog niet<\/h2>\n