22 nov 2014
Voor mij als WordPress specialist is het gemakkelijk om te zien welke bestanden niet thuis horen op de server. Maar er zijn ook diverse manieren waarop jij een virus bestand of een spam bestand kunt herkennen!
Zo herken je een virus bestand
- Het bestand heeft een andere wijzigingsdatum op de server.
Alle bestanden hebben de wijzigingsdatum vanaf het moment dat je WordPress installeerde, maar het virus bestand heeft een recentere datum. - Het bestand heeft een code die onleesbaar is, allemaal cijfers en letters door elkaar.
Het bestand is vaak gecodeerd, Het enige wat je dan kunt lezen is eval65. Dit is de encodering waarna de cijfers en letters komen. De server voert deze vreemde code uit als gewone php maar hij is voor mensen niet leesbaar zoals reguliere php wel is. - Het bestand heeft een vreemde naam.
Aangezien bestanden niet te herkennen mogen zijn voor virusscanners van de server is de naam gegenereerd waardoor je random letters en cijfers krijgt als bestandsnaam. - Vaak staat het bestand in de httpdocs/root van de website.
Aangezien mappen nogal eens wisselen richten de hackscripts zich vaak op de hoofdmap van je website. Maar de kans is ook redelijk groot dat er meerdere bestanden staan. Denk hierbij aan de wp-includes map en de uploads map. - Het bestand is 9-van-de-10x een .php bestand.
Php bestanden kunnen scripts uitvoeren, meestal zijn het daarom php bestanden en heel soms html.
Dit zijn enkele mogelijkheden om bestanden te herkennen die door een script op je server gezet zijn. Echter als je WordPress lek is kunnen ze ook regels code in je bestaande bestanden injecteren. Die zijn daardoor lastiger te ontdekken.
Vaak zetten ze de regels code in de index.php, de header.php of in de WordPress core bestanden.
Let op! Als je de bestanden hebt verwijderd is het probleem niet opgelost. Daarna is het belangrijk dat je WordPress beveiligt en je zeker weet dat er geen enkele code meer in je website staat. Als er namelijk een zogenoemde backdoor in je website staat kunnen ze via die weg alsnog bestanden op je server plaatsen. En ja, dit gebeurt helaas vaak.
Enige tijd geleden stonden in berichten van mijn website ineens hele reeksen letters, die niet in het bericht thuishoorden. Deze tekens waren alleen zichtbaar in de tekstmode van de editor. Verder merkte ik nog niets op de website. Is dat ook malware? Het stond dus niet in een php bestand.
Als je “tekst” in de tekstbewerker ziet die opent met: eval/base, en in een staat heb je grote kans dat het malware is.
Het hoort in ieder geval niet thuis tussen de tekst. Hoogstens wat html, maar geen php en zeker geen brei aan letters zonder duidelijke code-opmaak.
Dat van die backdoor begrijp ik niet. Als alles gescand is en alle virussen verwijderd zijn, hoe komt het dan dat er nog een backdoor op de website kan staan?
Backdoors kunnen zowel in de data van de site staan, in de bestanden middels een lijn code maar ook in de database.
Plugins en zelfs serverscanners kijken niet altijd op beide plekken.
Dan heb je nog tientallen manieren om backdoors te verstoppen, dat is door middel van encodering zodat het niet door andere software uitgelezen kan worden of door een bestaande functie uit te breiden.
Bij het uitbreiden van een bestaande functie, denk bijvoorbeeld aan de registratiemogelijkheid in WordPress zet een hack de standaardrol van abonnee op administrator.
Daarna kan een script of hacker simpelweg registreren en heeft die direct administratie-rechten.
Om maar 1 van de 400 vrijwel ondetecteerbare backdoors te noemen die we tegengekomen zijn de afgelopen jaren.
Wanneer een backdoor heel effectief (dus veel websites treft) gaat die opvallen bij de makers van beveiligingsplugins en wordt die backdoor onderzocht en wordt die code/backdoor
toegevoegd aan de detectielijst door de makers van beveiligingsplugins.
altijd al geweten dat een hack eruit ziet als op het plaatje 😉