Gisteren werd ik door iemand, waarmee ik aan het mailen was over wat van mijn sites, ineens door dat 1 van mijn kleine niche-websites was gehacked door wat Marokkaanse hackers en een deface had ondergaan.

Daar ik zoveel mogelijk probeer te sharen om anderen te helpen, die hetzelfde meemaken, daarom maar een blogpostje hierover.

Enja, de boodschap dat de Westelijke Sahara Marokkaans stond inderdaad mooi te blinken op de site. :-/

zonneboiler hack

Direct de nodige stappen ondernomen:

  • Hoster dit laten weten.
  • Volledige FTPaccount nagekeken en opgekuist.
  • Zowel FTP als wordpress paswoorden aangepast (vorige wachtwoord had karakters en cijfers).
  • Cleane wordpress install gedaan en daarna backup van database en themefiles er terug op gezet.
  • Niet-essentiële plugins verwijderd.

Het blijft bizar hoe dat ze dit hebben gedaan, daar de wordpress versie en alle plugins up-to-date waren (die doe ik steeds via de ManageWP.com dashboard voor al mijn WP-sites). Daarom voor wie interesse heeft hierbij de serverlogs, waarop je kan zien dat de hacker manueel (bots worden tegengehouden door de bruteforce bescherming) heeft kunnen inloggen en nadien via het uploaden van een bestandje up.php alles heeft kunnen leegmaken en defacen.

hack logs
hack logs
hack logs2

Het enige wat ik kan bedenken is dat tijdens de bruteforce-aanvallen van een tijdje geleden de account is gekraakt en deze nu gebruikt is voor een massale gelijktijdige deface?

Bijkomstig zie ik de analytics sinds gisterenmiddag nu de nodige Facebook trafiek vanuit landen, die niet echt dagelijks zijn. De site is dus waarschijnlijk op 1 of andere showoff-page van de hackers/script kiddies geplaatst. Welkom allemaal!
facebook trafiek

Een goede oefening dus nog eens op mijn restore-plannen en ondertussen bezig alle accounts van WP/FTP aan te passen en een sterk paswoord mee te geven (plezant werkje bij +15 wp-sites).

Als je trouwens eens wilt zien hoeveel sites er zo elke minuut wereldwijd een deface ondergaan, check dan de bragging showoff website www.zone-h.org.

blank

Marketing strateeg en docent (Thomas More/UHasselt). Sinds 2002 reeds techblogger. Marketing strateeg en privacy officer als freelancer en daarnaast ook gewoon papa thuis. Schrijf je in voor de Dailybits nieuwsbrief.

Abonneer
Abonneren op

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

1 Reactie
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Thomas
10 jaren geleden

Balen dat je dit overkomt. Wel mooi om te zien hoe snel je het kan oplossen (mede dankzij het gebruiken van ManageWP).