Onder vuur | 5 « net eamelje

Onder vuur | 5

Twee keer in twee maanden is mijn boeklog nu gehackt. En het maakt nederig om te bedenken dat het de snoodaards beide keren slechts te doen was om niet meteen ontdekt te worden. Met eenzelfde gemak had de website zijn gehele gezicht kunnen verliezen.

Nu zagen sommige bezoekers alleen wat extra reclame. Bestaande uit een op het oog simpel GIF-je, aangeroepen door een javascript; dat toch ook weer een cookie plaatste, zodat niemand áltijd een advertentie tegenkwam.

Dank aan degenen die mij hun ongenoegen over de reclame meldde. Voor mij was deze inbreuk onzichtbaar. Maakte niet uit in welke browser ik keek, onder welk OS ik ook werkte.

Uiteindelijk bleken er twee dingen te zijn gebeurd. Er was een directory met javascripts — /js/ — aangemaakt in de map met de sjablonen die boeklog zijn uiterlijk geven. En dat is heel verneukeratief. Want bij alle eerdere layouts was er gewoon altijd zo’n zelfde javascript directory; om de problemen op te lossen die de bezoekers met Internet Explorer 6 geven.

En behalve die directory waren er twee regels code in de header van de pagina aangebracht, die de scriptjes aanriepen.

Hoe dit kan, weet ik niet. Behalve dan omdat WordPress vele veiligheidsrisico’s schijnt te kennen, waar niemand het ooit over heeft, en mijn host in dit opzicht er op de internetfora ook niet best vanaf komt.

Dus sukkelen we door. In het deemoedig makende besef altijd backups paraat te moeten houden.

Enfin. Éen ding houd ik dan toch weer aan deze episode over. En dit is dat er gereedschappen bestaan om in elk geval te begrijpen waar de hackers mee bezig zijn.

Eén zo’n plek is:
http://www.businessinfo.co.uk/labs/hackvertor/hackvertor.php

De illegale javascriptjes waren deels versleuteld, zodat onduidelijk was wat ze precies uitvoerden. Via bovengenoemde site is die code terug te vertalen naar begrijpelijker instructies.

kies daartoe ‘script’ uit het menu rechtsboven;
click daarna op js2str. Er verschenen dan ‘tags’ in het linker tekstveld;
click tussen deze tags, en kopieer de inhoud van het verdachte javascript daar naartoe;
click op ‘convert’;
beaam toch echt dit script te willen uitvoeren;
en wat in dit geval volgde was dat een overlay zichtbaar werd, waarin een advertentie kon worden aangeroepen;