WordPress hackers vinden via de serverlog’s

Is je WordPress website gehackt?   Wij lossen het voor je op!   Bel nu 06-55121521

WordPress hackers vinden via de serverlog’s

Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld.

Dan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is..

De serverlog’s vinden in Directadmin

De serverlog’s registreren ALLES. Maar dan wel in ruwe servertaal zonder opmaak.
De serverlogs in DirectAdmin vindt je na het inloggen onder Your Account » Site Summary / Statistics / Logs » Full usage log
weblog

weblog

De serverlog’s begrijpen

Er komt nu veel informatie op je af.
Er zit een bepaalde volgorde in waar we je doorheen zullen loodsen zodat je de serverlog’s kunt begrijpen.

server logs

  1. Als eerste zie je het IP adres.
    Die wijst naar de computer/router van de mogelijke hacker.
  2. Daarna zie je de datum
    Houdt er rekening mee dat de tijd op de server kan afwijken van de lokale tijd
  3. Daarna zie je een GET of POST commando
    Die is belangrijk, een hacker zal namelijk POST commando’s aan je server/website geven.
  4. Daarna zie je de url die gevraagd is.
    Hier hoor je gewone pagina’s en info te zien die een bezoeker op kan vragen.
    Als je url’s ziet zoals XML-RPC.php en andere bestanden op de server kun je ervan uitgaan dat het niet om een gewone bezoeker gaat.
  5. Daarna zie je de USER Agent
    Ofwel de browser/besturingssyysteem wat gebruikt wordt.

Nu je de serverlog kunt lezen kun je op zoek gaan naar de geschiedenis van je website, en de handelingen van de hacker

Wij spreken hier over hacker maar in 9/10 gevallen gaat het om een script dat uitgevoerd wordt door de hacker of zelfs nog een geautomatiseerd script waar de hacker niet eens meer op let.. die kijkt alleen naar de uitkomsten en de resultaten.

De hack(er) vinden

Zo’n serverlog kan gerust 2000 lijnen bevatten en heb je zelfs alleen nog maar de laatste 24 uur.
(Wij gaan er dan ook vanuit dat je er op tijd achter gekomen bent.. of dat het een terugkerende hack(er) is.)

Waar je op moet letten:

Je zult gaan zoeken naar bepaalde woorden, dat kan je doen door het logbestand in je browser te openen of door je favoriete tekst-editor te gebruiken.

  1. POST – Zoals eerder genoemd voert een hacker of script een commando uit op je website om iets gedaan te krijgen.
  2. XML-RPC en andere PHP bestanden. Een bezoeker opent pagina’s en berichten en GEEN php bestanden.
  3. IP Adressen uit vreemde landen. Als je bezoekers hebt uit China, Rusland, Duitsland, Frankrijk terwijl je een Nederlandse website hebt.. dan is het uitermate vreemd als ze een groot aantal pagina’s en/of bestanden gaan lezen.
    Gebruik de IP Location finder om te bepalen uit welk land een gebruiker komt .

Als programmeur doe je dit natuurlijk met Notepad++ of een andere code editor waardoor je direct lijnen kunt markeren etc.

Kennis is macht, maar nog geen overwinning

Nu je de logboeken kunt lezen én de hacker hebt gevonden én weet welke acties die hacker heeft ondernomen kun je de gevolgen gaan terugdraaien van de hack.

In veel gevallen heeft de hacker bestanden geplaatst, of tekst-reclame. Die kun je verwijderen of middels het terugzetten van een backup ongedaan maken.

Maar! Dan ben je er nog niet

De hacker is binnengekomen, handmatig of met een script.. en dat zal weer gebeuren tenzij je de website beveiligd met een WordPress Antivirus plugin.

Configureer de plugin goed, volg alle stappen die nodig zijn om je WordPress veilig en hacker-proof te maken!

En zoals altijd, maak backupsbackups, en nog meer backups!

« Terug naar het nieuwsoverzicht
start beveiligen wordpress /

Laat je gehackte WordPress website herstellen!

Gegarandeerd hackvrij binnen 10-48 uur!
Nu met 12 maanden garantie.

Slechts €19,95 per maand

Nu laten herstellen!
updraftplus backups voor WordPress

Deel je vraag of reactie over dit artikel!

4 Shares
Share3
Share1
Tweet