{"id":9581,"date":"2017-09-10T11:36:25","date_gmt":"2017-09-10T11:36:25","guid":{"rendered":"http:\/\/www.wpbeveiligen.nl\/?p=9581"},"modified":"2020-04-30T10:22:42","modified_gmt":"2020-04-30T09:22:42","slug":"wordpress-hackers-vinden-serverlogs","status":"publish","type":"post","link":"https:\/\/wpbeveiligen.nl\/wordpress-hackers-vinden-serverlogs\/","title":{"rendered":"WordPress hackers vinden via de serverlog&#8217;s"},"content":{"rendered":"<p><strong>Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld.<br \/>\n<\/strong><br \/>\nDan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is..<\/p>\n<h2>De serverlog&#8217;s vinden in Directadmin<\/h2>\n<p>De serverlog&#8217;s registreren ALLES. Maar dan wel in ruwe servertaal zonder opmaak.<br \/>\nDe serverlogs in DirectAdmin vind je na het inloggen onder <em>Your Account<\/em> \u00bb\u00a0<em>Site Summary \/ Statistics \/ Logs<\/em> \u00bb <em>Full usage log<br \/>\n<a href=\"https:\/\/www.wpbeveiligen.nl\/wp-content\/uploads\/2017\/09\/directadmin-logboeken.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-9582 size-full aligncenter\" src=\"https:\/\/www.wpbeveiligen.nl\/wp-content\/uploads\/2017\/09\/directadmin-logboeken.jpg\" alt=\"weblog\" width=\"661\" height=\"131\" \/><\/a><br \/>\n<\/em><\/p>\n<p><a href=\"https:\/\/www.wpbeveiligen.nl\/wp-content\/uploads\/2017\/09\/weblog.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-9583 aligncenter\" src=\"https:\/\/www.wpbeveiligen.nl\/wp-content\/uploads\/2017\/09\/weblog-1024x89.jpg\" alt=\"weblog\" width=\"863\" height=\"75\" \/><\/a><\/p>\n<h2>De serverlog&#8217;s begrijpen<\/h2>\n<p>Er komt nu veel informatie op je af.<br \/>\nEr zit een bepaalde volgorde in waar we je doorheen zullen loodsen zodat je de serverlog&#8217;s kunt begrijpen.<\/p>\n<p><a href=\"https:\/\/www.wpbeveiligen.nl\/wp-content\/uploads\/2017\/09\/Serverlog-directadmin.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-9584 aligncenter\" src=\"https:\/\/www.wpbeveiligen.nl\/wp-content\/uploads\/2017\/09\/Serverlog-directadmin-1024x56.jpg\" alt=\"server logs\" width=\"863\" height=\"47\" \/><\/a><\/p>\n<ol>\n<li>Als eerste zie je het IP adres.<br \/>\nDie wijst naar de computer\/router van de mogelijke hacker.<\/li>\n<li>Daarna zie je de datum<br \/>\nHoudt er rekening mee dat de tijd op de server kan afwijken van de lokale tijd<\/li>\n<li>Daarna zie je een GET of POST commando<br \/>\nDie is belangrijk, een hacker zal namelijk POST commando&#8217;s aan je server\/website geven.<\/li>\n<li>Daarna zie je de url die gevraagd is.<br \/>\nHier hoor je gewone pagina&#8217;s en info te zien die een bezoeker op kan vragen.<br \/>\nAls je url&#8217;s ziet zoals XML-RPC.php en andere bestanden op de server kun je ervan uitgaan dat het niet om een gewone bezoeker gaat.<\/li>\n<li>Daarna zie je de USER Agent<br \/>\nOfwel de browser\/besturingssysteem wat gebruikt wordt.<\/li>\n<\/ol>\n<blockquote><p><strong>Nu je de serverlog kunt lezen kun je op zoek gaan naar de geschiedenis van je website, en de handelingen van de hacker<br \/>\n<\/strong><br \/>\nWij spreken hier over hacker maar in 9\/10 gevallen gaat het om een script dat uitgevoerd wordt door de hacker of zelfs nog een geautomatiseerd script waar de hacker niet eens meer op let.. die kijkt alleen naar de uitkomsten en de resultaten.<\/p><\/blockquote>\n<h2>De hack(er) vinden<strong><br \/>\n<\/strong><\/h2>\n<p>Zo&#8217;n serverlog kan gerust 2000 lijnen bevatten en heb je zelfs alleen nog maar de laatste 24 uur.<br \/>\n(Wij gaan er dan ook vanuit dat je er op tijd achter gekomen bent.. of dat het een terugkerende hack(er) is.)<\/p>\n<p><strong>Waar je op moet letten:<\/strong><\/p>\n<p>Je zult gaan zoeken naar bepaalde woorden, dat kan je doen door het logbestand in je browser te openen of door je favoriete tekst-editor te gebruiken.<\/p>\n<ol>\n<li>POST &#8211; Zoals eerder genoemd voert een hacker of script een commando uit op je website om iets gedaan te krijgen.<\/li>\n<li>XML-RPC en andere PHP bestanden. Een bezoeker opent pagina&#8217;s en berichten en GEEN php bestanden.<\/li>\n<li>IP Adressen uit vreemde landen. Als je bezoekers hebt uit China, Rusland, Duitsland, Frankrijk terwijl je een Nederlandse website hebt.. dan is het uitermate vreemd als ze een groot aantal pagina&#8217;s en\/of bestanden gaan lezen.<br \/>\nGebruik de <a href=\"https:\/\/www.iplocation.net\/\" rel=\"nofollow noopener\" target=\"_blank\">IP Location finder<\/a> om te bepalen uit welk land een gebruiker komt .<\/li>\n<\/ol>\n<p>Als programmeur doe je dit natuurlijk met <a href=\"https:\/\/notepad-plus-plus.org\/download\" rel=\"nofollow noopener\" target=\"_blank\">Notepad++<\/a> of een andere code editor waardoor je direct lijnen kunt markeren etc.<\/p>\n<h2>Kennis is macht, maar nog geen overwinning<\/h2>\n<p>Nu je de logboeken kunt lezen \u00e9n de hacker hebt gevonden \u00e9n weet welke acties die hacker heeft ondernomen, kun je de gevolgen gaan terugdraaien van de hack.<\/p>\n<p>In veel gevallen heeft de hacker <a href=\"https:\/\/www.wpbeveiligen.nl\/hack-bestanden-verwijderen-uit-wordpress\/\">bestanden geplaatst<\/a>, of <a href=\"https:\/\/www.wpbeveiligen.nl\/zo-verdient-hacker-aan-website\/\">tekst-reclame<\/a>. Die kun je verwijderen of middels het terugzetten van een backup ongedaan maken.<\/p>\n<h2>Maar! Dan ben je er nog niet<\/h2>\n<p>De hacker is binnengekomen, handmatig of met een script.. en dat zal weer gebeuren tenzij je de website beveiligt met een <a href=\"https:\/\/www.wpbeveiligen.nl\/plugins\/\">WordPress Antivirus plugin<\/a>.<\/p>\n<p>Configureer de plugin goed, volg alle stappen die nodig zijn om je WordPress veilig en hacker-proof te maken!<\/p>\n<p>En zoals altijd, maak <a href=\"https:\/\/updraftplus.com\/?afref=380\" rel=\"nofollow noopener\" target=\"_blank\">backups<\/a> &#8211; <a href=\"https:\/\/www.wpbeveiligen.nl\/de-backup-een-stille-redder-nood\/\">backups<\/a>, en nog meer <a href=\"https:\/\/www.wpbeveiligen.nl\/een-backup-maken-van-je-wordpress-website\/\">backups<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld. Dan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is.. De serverlog&#8217;s vinden in Directadmin De serverlog&#8217;s registreren ALLES. Maar dan [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":9585,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[62,63],"_links":{"self":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/9581"}],"collection":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/comments?post=9581"}],"version-history":[{"count":0,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/posts\/9581\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media\/9585"}],"wp:attachment":[{"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/media?parent=9581"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/categories?post=9581"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wpbeveiligen.nl\/wp-json\/wp\/v2\/tags?post=9581"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}