WordPress hackers vinden via de serverlog’s

WordPress hackers vinden via de serverlog’s
datum-geschreven 10 sep 2017

Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld.

Dan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is..

De serverlog’s vinden in Directadmin

De serverlog’s registreren ALLES. Maar dan wel in ruwe servertaal zonder opmaak.
De serverlogs in DirectAdmin vind je na het inloggen onder Your Account » Site Summary / Statistics / Logs » Full usage log
weblog

weblog

De serverlog’s begrijpen

Er komt nu veel informatie op je af.
Er zit een bepaalde volgorde in waar we je doorheen zullen loodsen zodat je de serverlog’s kunt begrijpen.

server logs

  1. Als eerste zie je het IP adres.
    Die wijst naar de computer/router van de mogelijke hacker.
  2. Daarna zie je de datum
    Houdt er rekening mee dat de tijd op de server kan afwijken van de lokale tijd
  3. Daarna zie je een GET of POST commando
    Die is belangrijk, een hacker zal namelijk POST commando’s aan je server/website geven.
  4. Daarna zie je de url die gevraagd is.
    Hier hoor je gewone pagina’s en info te zien die een bezoeker op kan vragen.
    Als je url’s ziet zoals XML-RPC.php en andere bestanden op de server kun je ervan uitgaan dat het niet om een gewone bezoeker gaat.
  5. Daarna zie je de USER Agent
    Ofwel de browser/besturingssysteem wat gebruikt wordt.

Nu je de serverlog kunt lezen kun je op zoek gaan naar de geschiedenis van je website, en de handelingen van de hacker

Wij spreken hier over hacker maar in 9/10 gevallen gaat het om een script dat uitgevoerd wordt door de hacker of zelfs nog een geautomatiseerd script waar de hacker niet eens meer op let.. die kijkt alleen naar de uitkomsten en de resultaten.

De hack(er) vinden

Zo’n serverlog kan gerust 2000 lijnen bevatten en heb je zelfs alleen nog maar de laatste 24 uur.
(Wij gaan er dan ook vanuit dat je er op tijd achter gekomen bent.. of dat het een terugkerende hack(er) is.)

Waar je op moet letten:

Je zult gaan zoeken naar bepaalde woorden, dat kan je doen door het logbestand in je browser te openen of door je favoriete tekst-editor te gebruiken.

  1. POST – Zoals eerder genoemd voert een hacker of script een commando uit op je website om iets gedaan te krijgen.
  2. XML-RPC en andere PHP bestanden. Een bezoeker opent pagina’s en berichten en GEEN php bestanden.
  3. IP Adressen uit vreemde landen. Als je bezoekers hebt uit China, Rusland, Duitsland, Frankrijk terwijl je een Nederlandse website hebt.. dan is het uitermate vreemd als ze een groot aantal pagina’s en/of bestanden gaan lezen.
    Gebruik de IP Location finder om te bepalen uit welk land een gebruiker komt .

Als programmeur doe je dit natuurlijk met Notepad++ of een andere code editor waardoor je direct lijnen kunt markeren etc.

Kennis is macht, maar nog geen overwinning

Nu je de logboeken kunt lezen én de hacker hebt gevonden én weet welke acties die hacker heeft ondernomen, kun je de gevolgen gaan terugdraaien van de hack.

In veel gevallen heeft de hacker bestanden geplaatst, of tekst-reclame. Die kun je verwijderen of middels het terugzetten van een backup ongedaan maken.

Maar! Dan ben je er nog niet

De hacker is binnengekomen, handmatig of met een script.. en dat zal weer gebeuren tenzij je de website beveiligt met een WordPress Antivirus plugin.

Configureer de plugin goed, volg alle stappen die nodig zijn om je WordPress veilig en hacker-proof te maken!

En zoals altijd, maak backupsbackups, en nog meer backups!

Meer WordPress: ,

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
4 Reacties
Inline Feedbacks
Bekijk alle reacties
Paul

Komen alle GET en POST commando’s van hackers?

Stijn

In de logfile van een site van mij zie ik bijvoorbeeld dit:
……………… anon-54-36-148-80.ahrefs.com – – [13/Dec/2019:01:06:55 +0100] “GET /schoenen-c-1_3/seacoast-groencvrqtazf-p-111.html HTTP/1.1” 404 580 “-” “Mozilla/5.0 (compatible; AhrefsBot/6.1; +http://ahrefs.com/robot/)”
Er staan een nog veel meer regels die naar kleding verwijzen in de logfile. Op de site staat nergens iets over kleding.
Is dit een poging tot hacken of ben ik al gehackt? Ik heb wel Anti-Malware from GOTMLS.NET draaien en die geeft na scannen niets verdacht. Verder merk ik geen vreemde dingen op de site.