Website-hack van 1 van mijn websites

Gisteren werd ik door iemand, waarmee ik aan het mailen was over wat van mijn sites, ineens door dat 1 van mijn kleine niche-websites was gehacked door wat Marokkaanse hackers en een deface had ondergaan.

Daar ik zoveel mogelijk probeer te sharen om anderen te helpen, die hetzelfde meemaken, daarom maar een blogpostje hierover.

Enja, de boodschap dat de Westelijke Sahara Marokkaans stond inderdaad mooi te blinken op de site. :-/

Direct de nodige stappen ondernomen:

• Hoster dit laten weten.
• Volledige FTPaccount nagekeken en opgekuist.
• Zowel FTP als wordpress paswoorden aangepast (vorige wachtwoord had karakters en cijfers).
• Cleane wordpress install gedaan en daarna backup van database en themefiles er terug op gezet.
• Niet-essentiële plugins verwijderd.

Het blijft bizar hoe dat ze dit hebben gedaan, daar de wordpress versie en alle plugins up-to-date waren (die doe ik steeds via de ManageWP.com dashboard voor al mijn WP-sites). Daarom voor wie interesse heeft hierbij de serverlogs, waarop je kan zien dat de hacker manueel (bots worden tegengehouden door de bruteforce bescherming) heeft kunnen inloggen en nadien via het uploaden van een bestandje up.php alles heeft kunnen leegmaken en defacen.

hack logs
hack logs2

Het enige wat ik kan bedenken is dat tijdens de bruteforce-aanvallen van een tijdje geleden de account is gekraakt en deze nu gebruikt is voor een massale gelijktijdige deface?

Bijkomstig zie ik de analytics sinds gisterenmiddag nu de nodige Facebook trafiek vanuit landen, die niet echt dagelijks zijn. De site is dus waarschijnlijk op 1 of andere showoff-page van de hackers/script kiddies geplaatst. Welkom allemaal!

Een goede oefening dus nog eens op mijn restore-plannen en ondertussen bezig alle accounts van WP/FTP aan te passen en een sterk paswoord mee te geven (plezant werkje bij +15 wp-sites).

Als je trouwens eens wilt zien hoeveel sites er zo elke minuut wereldwijd een deface ondergaan, check dan de bragging showoff website www.zone-h.org.