Etikettarkiv: hackers

Hackad WordPress? Så här gör du

Du vet väl att du kan anlita mig för att rensa upp och utreda en hackad WordPress-installation? Kontakt här >

Har du upptäckt att din blogg länkar till suspekta sajter eller att Google Webmaster Tools larmar? Så här gör du för att undersöka hacket samt återställa bloggen efter det att den blivit hackad.

Omfattning av hacket

Det första är att ta reda på modus operandi. Hur har antagonisten tagit sig in och exakt vad har denne genomfört? Jag skulle nog påstå att något av följande scenarion är mest troliga orsaker till intrång:

  • Någon har knäckt ditt lösenord
  • Sårbarhet i plugin
  • Delad hosting

Det är inte en lätt match att ta reda på tillvägagångssättet då omfattande genomgång av loggfiler samt andra filer måste genomföras. Att redan innan ett intrång genomförs är det bra att kontrollera att du verkligen har tillgång till loggfiler och kan genomföra IT-forensik.

Att söka efter vanligt förekommande PHP-funktioner som används vid bakdörrar såsom preg_replace() med /e (execute), eval, base64_decode eller system() och liknande kan möjligtvis ge några spår. Även så är .htaccess eller liknande filer populära att lägga in bakdörrar

Det kan även vara bra att kontrollera om inlägg har modifierats och iframes eller liknande har in injicerats:

SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%' OR
post_content LIKE '%<noscript%' OR post_content LIKE '%display:%';

Återställning efter hacket

Det bästa är att installera om samtliga plugins samt WordPress core och sedan återställa WordPress-databasen samt ändra samtliga lösenord i WordPress. På så sätt kan inget ligga kvar och du har troligtvis fått ut antagonisten. Dock finns det möjlighet att du installerar ett plugin som innehåller en sårbarhet igen om du ej genomfört en ordentlig utredning. Observera även att du måste helt tömma din webbroot, det räcker inte att skriva över filer för då kan eventuella extra filer (bakdörrar) ligga kvar.

Om antagonisten är inloggad i WP-admin och cookies är aktiva så måste security-keys ändras och här hittar du hur du gör (i wp-config.php filen).

Har intrånget skett genom delad hosting så kommer du troligtvis att bli hackad igen.

Du kan också givetvis anlita mitt företag Triop AB för att utföra undersökning samt rensa ut eventuella angripare.

Läs även det jag skrev 2012 om samma ämne:

Hur mitt domännamn hamnade mitt i ett hacker-krig

Det hela började rund 2010 då jag registrerade domännamnet Myndigheterna.se som jag tänkte använda för att bygga en webbtjänst. Jag filade länge på vad tjänsten skulle innehålla och byggde mycket backend och lite frontend. Sidan låg nästan helt oanvänd och Google vägrade att indexera något.

Dock så damp det ned ett mail en vacker dag från Jack Werner från Nyheter24 som undrade om jag sett någon trafikökning på sajten och jag förstod inte riktigt vad han menade så jag tittade snabbt i loggarna och såg att många nya besökare kom från YouTube.

Jag gick in på YouTube och såg då en Guy Fawkes mask och såg att beskrivningsfältet innehöll en massa länkar till myndigheter inklusive min domän. Då trillade poletten ner och jag förstod att ett av alla mål för hacker-angrepp var min stackars domän.

Snabbt som ögat så ändrade jag innehållet på domänen så den inte skulle innehålla några PHP-script eller liknande som kunde användas för intrång. Istället så la jag upp en bild på en säl, fråga mig inte varför men det kändes som en bra idé vid tillfället:

Jag blev kontaktad av hens som undrade om sidan hade blivit hackad men jag berättade då att det var jag som hade lagt upp bilden på en säl. Jag märkte även på Twitter att det var hög aktivitet om just att sidan blivit ”defacad” eller hackad/ändrad. Förstod inte riktigt varför eftersom det står att jag är ägare av sidan.

Efter några dagar så kommer Jack Werner på idén att skriva en artikel om att jag lurat Anonymous och att det är en guldgruva. Vilket jag förvisso säger i en intervju till honom, men i sitt hela kontext: ”en guldgruva i SEO-syfte” eftersom det genererat otroligt mycket inkommande länkar.

Eftersom andra drabbas och drabbats så väljer jag att ta bort sälen. Tyvärr så verkar få inse att det är Triop AB:s sida och ingen myndigetssida som blivit hackad (förutom gammelmedia).

Uppdatering: Förutom Nyheter24 så skrev även Svenska dagbladet och SVT om detta.

Sårbarheten hos bloggar nu påtaglig

Proinet blev hackad i veckan och flera bloggar tystnade och tyvärr så har Proinet enbart en backup som är 6 veckor gammal(!!).

“Det här visar svagheterna i bloggosfären: att det finns en teknisk svaghet och om det blir så att många ‘viktiga’ bloggar ligger på samma hotell kan ett välriktat slag – från hackare eller från en illvillig statsmakt innebära att enkelt tysta detta.” skriver Deep|edition.

Det var pg.a dessa ökande problem av hackers och dyl. som jag skapade tjänsten BloggBackup som fortfarande är i beta-stadiet men än så länge har fungerat ypperligt bra med minimalt antal buggar.

Snart kommer även stöd för att göra backup av bilder samt stilmallar vilket inte finns i dagsläget.