Gehackattack

Het is weer eens zo ver. Er wordt telkens op boeklog ingebroken, door snoodaards. Die overigens weinig meer doen dan wat scriptjes plaatsen, zonder deze al in werking te stellen.

Maar omdat mijn RSS-feed niet goed meer werkte, en ik onderzocht waarom, ontdekte ik het bestaan van de duistere bestanden als sitemap.php en wp-sitemap.php.

Erger vind ik evenwel dat de inbrekers zo veel mogelijkheden hebben, dat ze ook de datum kunnen veranderen waarop zo’n bestand op de server lijkt te zijn geplaatst. En zo’n wp-sitemap.php valt dan ineens niet op tussen alle andere wp-***.php-bestanden.

Enfin, iedereen die WordPress draait kan ik aanraden om de Exploit Scanner te installeren. Die is weliswaar te kritisch, en vindt ook vele bestanden verdacht die wel deugen. Maar files met geheimtaal, zoals in de illustratie hierboven, worden foutloos gesignaleerd.

Al stond er ook ineens een afluisterbestand op de server, ergens diepweg verstopt, tussen de standaardbestanden van het TinyMCE-pakket dat ik niet eens gebruik.

Om zulke zaken te vinden, is shell-access nodig. Standaardcommando daarbij:
find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"
Waarbij die 3 voor het aantal dagen staat dat in de logs moet worden gekeken.

Maar na hackpogingen blijft het simpeler om alles te deleten, en veilig vanuit een back-up opnieuw op de server te zetten.

[x]#8910 fan maandag 20 juni 2011 @ 11:01:05

besibbe op eamelje.net [de nijste 10, maksimaal]:

Onderhoud01/2016

Uniek resultaat04/2013

WordPress hack prevention03/2012

Onder vuur | aflevering zoveel03/2012

Linkdump01/2012

WordPress 3.312/2011

WordPress 3.2 iii07/2011

WordPress 3.207/2011

Gehackattack | 206/2011