Karelgeenen.nl gehackt!

Karel
14/2/2009
Algemeen
X
min leestijd
Karel
14/2/2009
Algemeen
X
min leestijd
gehackt

En dan gebeurt het... Iets waar ik eigenlijk al een aantal jaar op aan het "wachten" was. Deze weblog is afgelopen dinsdag gehackt. Kwaadwillende hebben een code in mijn .htaccess bestand weten te plaatsen.Deze code zorgde ervoor dat de zoekmachine robots omgeleid werden naar een andere website met een 301 redirect (permanente verhuizing van een pagina). Dus deze robots, die ervoor zorgen dat je pagina's in de indexen van de zoekmachines verschijnen, dachten dat al mijn pagina's verhuist waren.Ik hoef jullie niet uit te leggen dat zoiets rampzalig kan zijn. Gelukkig ben ik er nog redelijk op tijd achter gekomen en is de schade beperkt gebleven. Voor wie wil weten wat er precies is gebeurd en hoe ik erachter ben gekomen, lees vooral verder!

De ontdekking

Afgelopen vrijdag waren er problemen bij het bedrijf waar deze website gehost wordt. Volgens hen hadden ze last van een DDoS-attack. Echter wist ik dit nog niet en dacht dat het aan een instelling op mijn weblog lag. Tijdens mijn zoektocht naar het mogelijke probleem nam ik een kijkje in mijn .htaccess bestand. Daar viel mij het volgende stukje code op:

RewriteCond %{HTTP_USER_AGENT} (Googlebot|Slurp|msnbot)RewriteRule ^ http://doormoney.net/ [R=301,L]# BEGIN WordPress

Mijn codekennis is niet van dermate hoog niveau dat ik 100% zeker wist wat het betekende. Maar ik kon het wel raden. Het leek erop dat er verschillende zoekmachines robotten doorgestuurd worden naar doormoney.net.Om zeker te weten wat er aan de hand was heb ik een mailtje gestuurd naar Joost de Valk (Joost, nogmaals bedankt!) met de vraag wat dit betekende. En mijn vermoeden werd bevestigd door Joost. Hij stuurde mij namelijk de volgende reactie:

Joost: "Da's idd een hack. Usernames/passes veranderen, core WordPress opnieuw neerzetten en al je plugins nalopen, iig... Succes!"

En dan weet je het zeker, je bent gehackt!

De schade opnemen

Om te kijken welke problemen (en hoe lang deze code er al in stond) ben ik eens een kijkje gaan nemen in mijn Google Webmaster Central. En daar werd het allemaal nog duidelijker. Google had op 10 februari ontdekt dat alle url's van mijn website niet meer toegankelijk waren. Dit was ook te zien aan het feit dat mijn sitemap niet meer klopte. Om het simpel te zeggen, ik stuurde url's naar Google maar wanneer ze deze gingen bezoeken bestonden deze helemaal niet meer.

De oplossing

Joost had het in zijn reactie al duidelijk gemaakt. Er moesten een aantal belangrijke stappen ondernomen worden. De volgende stappen heb ik ondernomen:

  1. De slechte code uit het .htaccess bestand gehaald. Op deze manier weten de zoekmachines dat alles weer "okee" is.
  2. Het CMOD commando gewijzigd van het .htaccess bestand. Vroeger was deze in principe door iedereen schrijfbaar (777). Binnen Wordpress is dit verplicht wanneer je wilt dat bijvoorbeeld de permalinks automatisch worden beschreven.
  3. Alle plugins die ik niet meer gebruik verwijderd (er stonden er inmiddels meer dan 40 in).
  4. De Wordpress-core geüpdate naar de nieuwste versie (van 2.3 naar 2.7). Ik weet wat je nu denkt, waarom is dit niet eerder gebeurd? En eerlijk gezegd dacht ik dat het niet zo'n haast zou hebben.
  5. Alle plugins opnieuw gedownload en waar nodig geüpgrade.
  6. Alle wachtwoorden veranderd.
  7. Een back-up gemaakt van Karelgeenen.nl.

Wat heb ik geleerd, hoe ga ik dit voorkomen

100% voorkomen zal waarschijnlijk nooit lukken. Maar ik heb, en ben bezig met andere, maatregelen genomen om dergelijke hacks te voorkomen. Ik zal binnenkort een apart artikel schrijven met "beveiligingstips voor Wordpress. Voorlopig kun je hier (Engels) terecht.Dan nog even mijn "pijnlijke" leerpunten:

  • Update wanneer er een nieuwe stabiele versie uitkomt! Wacht er niet mee maar doe het direct, kan je een hoop stress en problemen voorkomen.
  • Controleer regelmatig je .htaccess file.
  • Controleer regelmatig je Google Webmaster Central. Er staat meer belangrijke informatie in dan je denkt.
  • Maak voldoende back-ups!
  • Ook mijn oude vertrouwde Wordpress is te hacken...

Update 15 februari 2009:

De gevolgen van deze hack zijn nu ook te vinden in de resultaten van Google. Wanneer men nu zoekt op Karel Geenen krijgt men de volgende resultaten (let vooral op het derde resultaat)

karelgeenennl-gehackt

Schrijf je in voor onze nieuwsbrief

Je bent succesvol ingeschreven voor onze nieuwsbrief!
Er is iets fout gegaan bij het verzenden van het formulier

Wil je meer gratis tips over online marketing?

Bekijk onze gratis downloads

Categorieën

Ontdek hoe wij jouw bedrijf verder kunnen helpen

We hebben je aanvraag succesvol ontvangen, we nemen zo snel mogelijk contact met je op
Er is iets fout gegaan bij het verzenden van het formulier