Karelgeenen.nl gehackt!

gehacktEn dan gebeurt het... Iets waar ik eigenlijk al een aantal jaar op aan het "wachten" was. Deze weblog is afgelopen dinsdag gehackt. Kwaadwillende hebben een code in mijn .htaccess bestand weten te plaatsen.

Deze code zorgde ervoor dat de zoekmachine robots omgeleid werden naar een andere website met een 301 redirect (permanente verhuizing van een pagina). Dus deze robots, die ervoor zorgen dat je pagina's in de indexen van de zoekmachines verschijnen, dachten dat al mijn pagina's verhuist waren.

Ik hoef jullie niet uit te leggen dat zoiets rampzalig kan zijn. Gelukkig ben ik er nog redelijk op tijd achter gekomen en is de schade beperkt gebleven. Voor wie wil weten wat er precies is gebeurd en hoe ik erachter ben gekomen, lees vooral verder!

De ontdekking

Afgelopen vrijdag waren er problemen bij het bedrijf waar deze website gehost wordt. Volgens hen hadden ze last van een DDoS-attack. Echter wist ik dit nog niet en dacht dat het aan een instelling op mijn weblog lag. Tijdens mijn zoektocht naar het mogelijke probleem nam ik een kijkje in mijn .htaccess bestand. Daar viel mij het volgende stukje code op:

RewriteCond %{HTTP_USER_AGENT} (Googlebot|Slurp|msnbot)
RewriteRule ^ http://doormoney.net/ [R=301,L]# BEGIN WordPress

Mijn codekennis is niet van dermate hoog niveau dat ik 100% zeker wist wat het betekende. Maar ik kon het wel raden. Het leek erop dat er verschillende zoekmachines robotten doorgestuurd worden naar doormoney.net.

Om zeker te weten wat er aan de hand was heb ik een mailtje gestuurd naar Joost de Valk (Joost, nogmaals bedankt!) met de vraag wat dit betekende. En mijn vermoeden werd bevestigd door Joost. Hij stuurde mij namelijk de volgende reactie:

Joost:  "Da's idd een hack. Usernames/passes veranderen, core WordPress opnieuw neerzetten en al je plugins nalopen, iig... Succes!"

En dan weet je het zeker, je bent gehackt!

De schade opnemen

Om te kijken welke problemen (en hoe lang deze code er al in stond) ben ik eens een kijkje gaan nemen in mijn Google Webmaster Central. En daar werd het allemaal nog duidelijker. Google had op 10 februari ontdekt dat alle url's van mijn website niet meer toegankelijk waren. Dit was ook te zien aan het feit dat mijn sitemap niet meer klopte. Om het simpel te zeggen, ik stuurde url's naar Google maar wanneer ze deze gingen bezoeken bestonden deze helemaal niet meer.

De oplossing

Joost had het in zijn reactie al duidelijk gemaakt. Er moesten een aantal belangrijke stappen ondernomen worden. De volgende stappen heb ik ondernomen:

  1. De slechte code uit het .htaccess bestand gehaald. Op deze manier weten de zoekmachines dat alles weer "okee" is.
  2. Het CMOD commando gewijzigd van het .htaccess bestand. Vroeger was deze in principe door iedereen schrijfbaar (777). Binnen WordPress is dit verplicht wanneer je wilt dat bijvoorbeeld de permalinks automatisch worden beschreven.
  3. Alle plugins die ik niet meer gebruik verwijderd (er stonden er inmiddels meer dan 40 in).
  4. De WordPress-core geüpdate naar de nieuwste versie (van 2.3 naar 2.7). Ik weet wat je nu denkt, waarom is dit niet eerder gebeurd? En eerlijk gezegd dacht ik dat het niet zo'n haast zou hebben.
  5. Alle plugins opnieuw gedownload en waar nodig geüpgrade.
  6. Alle wachtwoorden veranderd.
  7. Een back-up gemaakt van Karelgeenen.nl.

Wat heb ik geleerd, hoe ga ik dit voorkomen

100% voorkomen zal waarschijnlijk nooit lukken. Maar ik heb, en ben bezig met andere, maatregelen genomen om dergelijke hacks te voorkomen. Ik zal binnenkort een apart artikel schrijven met "beveiligingstips voor WordPress. Voorlopig kun je hier (Engels) terecht.

Dan nog even mijn "pijnlijke" leerpunten:

  • Update wanneer er een nieuwe stabiele versie uitkomt! Wacht er niet mee maar doe het direct, kan je een hoop stress en problemen voorkomen.
  • Controleer regelmatig je .htaccess file.
  • Controleer regelmatig je Google Webmaster Central. Er staat meer belangrijke informatie in dan je denkt.
  • Maak voldoende back-ups!
  • Ook mijn oude vertrouwde WordPress is te hacken...

Update 15 februari 2009:

De gevolgen van deze hack zijn nu ook te vinden in de resultaten van Google. Wanneer men nu zoekt op Karel Geenen krijgt men de volgende resultaten (let vooral op het derde resultaat)

karelgeenennl-gehackt

Ook succesvol adverteren met Google AdWords?
Bekijk onze cursus Google AdWords, onze Google AdWords dienst of vul ons formulier in


Adverteer jij al via Google AdWords? Vraag dan onze gratis Google AdWords Quickscan aan!

  1. Als je het bestand naar 666 had gechmod, was hij ook nog schrijfbaar, en dat is veiliger. Nog veiliger is natuurlijk 644, daar heb ik hem altijd op staan. De enkele keer dat er wijzigingen zijn, doe ik wel even met de hand.

    De rest van de punten die je hebt aangepast, grotendeels wel slordig hoor :p. Ik update meestal ook niet meteen, maar vaak wel binnen een week of 2.

    Hopen dat het nu niet meer gebeurd iig. Ik heb het ook verscheidene malen gehad bij enkele sites van me, en het is erg irritant. Vooral als je niet weet waar het lek zit.

  2. @Jens
    Daar staat hij nu op :-).

    @Navin
    Ik weet het, het is slordig. Toch denk ik dat er nog steeds onnoemelijk veel bloggers zijn die een oude versie draaien van WordPress. Hopelijk lezen zij dit ook en zullen ze snel overschakelen op de nieuwste versie.

  3. Als ik je nog een tip mag geven; verberg je WordPress versie in de broncode van (al) je pagina's. Scriptkiddies/hackers (hoe je ze ook noemt) hebben veel aan deze informatie, omdat ze makkelijk aan de hand van je WordPress versie kunnen zoeken welke beveiligingslekken je WordPress versie evt. heeft.

    De versie kun je heel makkelijk met deze WordPress plugin verbergen: http://www.301.nl/hide-wordpress-version-to-secure-your-blog.html

    Joost heeft hier ook al eens een artikel over geschreven: http://yoast.com/speed-up-and-clean-up-your-wordpress/

  4. Tjee Karel, volgens mij zat ik op het moment vd hack op je site. Je was moeilijk tot niet bereikbaar. Wat een ellende dit en wat een lol voor de hackers. Hoop dit zelf ook niet mee te maken.

    Succes en goed en snel hersteld!
    HP

    1. Dat had niets met die hack te maken. Dat is juist het slimme van een dergelijke hack. De webmaster zal zoiets pas ontdekken wanneer hij of in Google Webmaster Central kijkt, of in zijn .htaccess file of wanneer hij niet meer in Google te vinden is...

  5. Ernstige situatie.

    Dit is nu een probleem van Open source. Er worden plugins ontwikkeld door derden, waarvan je niet zeker of die 100% betrouwbaar zijn.

    @Karel, je zegt:

    Dat had niets met die hack te maken. Dat is juist het slimme van een dergelijke hack. De webmaster zal zoiets pas ontdekken wanneer hij of in Google Webmaster Central kijkt, of in zijn .htaccess file of wanneer hij niet meer in Google te vinden is…

    Het is zeer ernstig wanneer iemand je .htaccess kan aanpassen. Dit is: of een lek in je source of iemand heeft je ftp gehackt. Het is daarom belangrijk om te weten hoe je code in elkaar steekt.

  6. Alles kan gehackt worden. OUde versies van Open source voorop.

    Het is niet voor niets dat je moet blijven updaten en backuppen. Je probeert met up to date software het grootste deel buiten te houden en de rest is een kwestie van blijven checken of alles nog draait.

  7. Wat een drama zeg! Mijn website heeft sinds half jan. erg veel downtime; mijn hoster wordt soms bijna dagelijks geconfronteerd met Ddos aanvallen, soms zo ernstig dat ze het hele datacenter dichtgooien. Eentje was specifiek op 1 klant gericht...en ik denk dus dat het beter is te verhuizen naar een ISO 27001 datacenter..Ook ben ik zelf binnen 2 maanden geconfronteerd met hacks van mijn gmail, en afgelopen maandag van hotmail account.Omdat div. accounts in elkaars adresboeken staan, kreeg ik opeens van mezelf emails...Gmail is een acct dat ik bijna nooit gebruik ; ik mail er niet mee. Alleen neiuwsbrieven en chat....Erg bedreigend. Email bevatten links naar shoppingwebsites..IP's zijn niet te achterhalen, wel dat t uit China komt...

    En ik vraag me af: waar kan ik in godsnaam aangifte doen? Is hier geen Interpol voor of iets dergelijks??
    Weet iemand dat?

  8. dat is zeker schrikken, ik vind het verder een heel goed artikel en ben ook wel geschrokken want ik moet ook upgraden, alleen had ik een error de laatste keer en durf het niet te doen, maar ja het is nu wel duidelijk voor mij, bedankt

  9. hoerige gasten, en waarom.... een hack is leuk om aan te geven dat je beveiliging rotjes is, maar om meteen een 301 te geven 😉

    ik dank monique trouwens 🙂

  10. Weet je zeker dat het een hack via WordPress is geweest? Je gaf zelf al aan dat je provider is aangevallen via een DDoS attack. Als het netwerk van je provider is gehackt dan kun je zelf vrij weinig doen namelijk.

  11. Ondanks dat het een oude post is moet ik toch dit vragen.

    Op wat voor stukjes code let je specifiek?

    Ik gebruik nu exploit scanner en krijg na het scannen een waslijst met resultaten, maar heb eigenlijk geen flauw idee waarop te letten.

    Hoor graag van je.

  12. Hier nog zo'n ramptoerist. Ook hier problemen op de site gehad.
    Mijn site verstuurde spam. Hopelijk heb is nu alles opgelost maar zeker ben ik niet. Ik vroeg me dan ook af of ik de site niet kan scannen op problemen. Zoals je ook je pc kunt scannen.

    Al veel gezocht maar nog niets gevonden.

    Hoor het graag.

    Groet

Reageren

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Terug naar top