Naar
boven
Logo Karel Geenen

Karelgeenen.nl gehackt!

gehacktEn dan gebeurt het… Iets waar ik eigenlijk al een aantal jaar op aan het “wachten” was. Deze weblog is afgelopen dinsdag gehackt. Kwaadwillende hebben een code in mijn .htaccess bestand weten te plaatsen.

Deze code zorgde ervoor dat de zoekmachine robots omgeleid werden naar een andere website met een 301 redirect (permanente verhuizing van een pagina). Dus deze robots, die ervoor zorgen dat je pagina’s in de indexen van de zoekmachines verschijnen, dachten dat al mijn pagina’s verhuist waren.

Ik hoef jullie niet uit te leggen dat zoiets rampzalig kan zijn. Gelukkig ben ik er nog redelijk op tijd achter gekomen en is de schade beperkt gebleven. Voor wie wil weten wat er precies is gebeurd en hoe ik erachter ben gekomen, lees vooral verder!

De ontdekking

Afgelopen vrijdag waren er problemen bij het bedrijf waar deze website gehost wordt. Volgens hen hadden ze last van een DDoS-attack. Echter wist ik dit nog niet en dacht dat het aan een instelling op mijn weblog lag. Tijdens mijn zoektocht naar het mogelijke probleem nam ik een kijkje in mijn .htaccess bestand. Daar viel mij het volgende stukje code op:

RewriteCond %{HTTP_USER_AGENT} (Googlebot|Slurp|msnbot)
RewriteRule ^ http://doormoney.net/ [R=301,L]# BEGIN WordPress

Mijn codekennis is niet van dermate hoog niveau dat ik 100% zeker wist wat het betekende. Maar ik kon het wel raden. Het leek erop dat er verschillende zoekmachines robotten doorgestuurd worden naar doormoney.net.

Om zeker te weten wat er aan de hand was heb ik een mailtje gestuurd naar Joost de Valk (Joost, nogmaals bedankt!) met de vraag wat dit betekende. En mijn vermoeden werd bevestigd door Joost. Hij stuurde mij namelijk de volgende reactie:

Joost:  “Da’s idd een hack. Usernames/passes veranderen, core WordPress opnieuw neerzetten en al je plugins nalopen, iig… Succes!”

En dan weet je het zeker, je bent gehackt!

De schade opnemen

Om te kijken welke problemen (en hoe lang deze code er al in stond) ben ik eens een kijkje gaan nemen in mijn Google Webmaster Central. En daar werd het allemaal nog duidelijker. Google had op 10 februari ontdekt dat alle url’s van mijn website niet meer toegankelijk waren. Dit was ook te zien aan het feit dat mijn sitemap niet meer klopte. Om het simpel te zeggen, ik stuurde url’s naar Google maar wanneer ze deze gingen bezoeken bestonden deze helemaal niet meer.

De oplossing

Joost had het in zijn reactie al duidelijk gemaakt. Er moesten een aantal belangrijke stappen ondernomen worden. De volgende stappen heb ik ondernomen:

  1. De slechte code uit het .htaccess bestand gehaald. Op deze manier weten de zoekmachines dat alles weer “okee” is.
  2. Het CMOD commando gewijzigd van het .htaccess bestand. Vroeger was deze in principe door iedereen schrijfbaar (777). Binnen WordPress is dit verplicht wanneer je wilt dat bijvoorbeeld de permalinks automatisch worden beschreven.
  3. Alle plugins die ik niet meer gebruik verwijderd (er stonden er inmiddels meer dan 40 in).
  4. De WordPress-core geüpdate naar de nieuwste versie (van 2.3 naar 2.7). Ik weet wat je nu denkt, waarom is dit niet eerder gebeurd? En eerlijk gezegd dacht ik dat het niet zo’n haast zou hebben.
  5. Alle plugins opnieuw gedownload en waar nodig geüpgrade.
  6. Alle wachtwoorden veranderd.
  7. Een back-up gemaakt van Karelgeenen.nl.

Wat heb ik geleerd, hoe ga ik dit voorkomen

100% voorkomen zal waarschijnlijk nooit lukken. Maar ik heb, en ben bezig met andere, maatregelen genomen om dergelijke hacks te voorkomen. Ik zal binnenkort een apart artikel schrijven met “beveiligingstips voor WordPress. Voorlopig kun je hier (Engels) terecht.

Dan nog even mijn “pijnlijke” leerpunten:

  • Update wanneer er een nieuwe stabiele versie uitkomt! Wacht er niet mee maar doe het direct, kan je een hoop stress en problemen voorkomen.
  • Controleer regelmatig je .htaccess file.
  • Controleer regelmatig je Google Webmaster Central. Er staat meer belangrijke informatie in dan je denkt.
  • Maak voldoende back-ups!
  • Ook mijn oude vertrouwde WordPress is te hacken…

Update 15 februari 2009:

De gevolgen van deze hack zijn nu ook te vinden in de resultaten van Google. Wanneer men nu zoekt op Karel Geenen krijgt men de volgende resultaten (let vooral op het derde resultaat)

karelgeenennl-gehackt


Over de auteur:

Dit artikel is geschreven door .

Karel Geenen
Karel Geenen is de eigenaar van deze weblog, en tevens eigenaar van Yargon, een zoekmachine marketing bedrijf gericht op het MKB.
36 reacties op "Karelgeenen.nl gehackt!"
  • Jens Swelson zegt:
    14 feb, 2009 om 22:09

    Als je het bestand naar 666 had gechmod, was hij ook nog schrijfbaar, en dat is veiliger. Nog veiliger is natuurlijk 644, daar heb ik hem altijd op staan. De enkele keer dat er wijzigingen zijn, doe ik wel even met de hand.

    De rest van de punten die je hebt aangepast, grotendeels wel slordig hoor :p. Ik update meestal ook niet meteen, maar vaak wel binnen een week of 2.

    Hopen dat het nu niet meer gebeurd iig. Ik heb het ook verscheidene malen gehad bij enkele sites van me, en het is erg irritant. Vooral als je niet weet waar het lek zit.

    Reageren
  • Navin Poeran zegt:
    15 feb, 2009 om 03:55

    2.3… damn.

    Reageren
  • topscoder zegt:
    15 feb, 2009 om 11:01

    Als ik je nog een tip mag geven; verberg je WordPress versie in de broncode van (al) je pagina’s. Scriptkiddies/hackers (hoe je ze ook noemt) hebben veel aan deze informatie, omdat ze makkelijk aan de hand van je WordPress versie kunnen zoeken welke beveiligingslekken je WordPress versie evt. heeft.

    De versie kun je heel makkelijk met deze WordPress plugin verbergen: http://www.301.nl/hide-wordpress-version-to-secure-your-blog.html

    Joost heeft hier ook al eens een artikel over geschreven: http://yoast.com/speed-up-and-clean-up-your-wordpress/

    Reageren
    • Karel Geenen zegt:
      15 feb, 2009 om 12:29

      Bedankt voor de tip!

  • Karel Geenen zegt:
    15 feb, 2009 om 11:29

    @Jens
    Daar staat hij nu op :-).

    @Navin
    Ik weet het, het is slordig. Toch denk ik dat er nog steeds onnoemelijk veel bloggers zijn die een oude versie draaien van WordPress. Hopelijk lezen zij dit ook en zullen ze snel overschakelen op de nieuwste versie.

    Reageren
  • Erwin Sigterman zegt:
    15 feb, 2009 om 12:23

    Dit is het laatste waar je op zit te wachten. Het moet je zelf overkomen, voordat je echt maatregelen gaat treffen. Vorig jaar was mijn website gahijacked;ook geen leuke dag!

    Reageren
    • Karel Geenen zegt:
      15 feb, 2009 om 13:33

      Inderdaad, leren via de harde manier…

  • HP zegt:
    15 feb, 2009 om 15:57

    Tjee Karel, volgens mij zat ik op het moment vd hack op je site. Je was moeilijk tot niet bereikbaar. Wat een ellende dit en wat een lol voor de hackers. Hoop dit zelf ook niet mee te maken.

    Succes en goed en snel hersteld!
    HP

    Reageren
    • Karel Geenen zegt:
      15 feb, 2009 om 18:15

      Dat had niets met die hack te maken. Dat is juist het slimme van een dergelijke hack. De webmaster zal zoiets pas ontdekken wanneer hij of in Google Webmaster Central kijkt, of in zijn .htaccess file of wanneer hij niet meer in Google te vinden is…

  • Norman (internetry) zegt:
    15 feb, 2009 om 18:42

    So Karel, dat is balen!

    In ieder geval weer een wijze les geleerd en weer een nuttige blogpost erbij. :-)

    Reageren
    • Karel Geenen zegt:
      15 feb, 2009 om 18:59

      Inderdaad, op deze manier kun je natuurlijk ook inspiratie krijgen…

  • Santhos Webdesign zegt:
    15 feb, 2009 om 20:16

    Djeez wat karig… nou ja we houden er in ieder geval een aantal goede tips aan over!

    Reageren
  • Website promotie zegt:
    16 feb, 2009 om 12:36

    Ernstige situatie.

    Dit is nu een probleem van Open source. Er worden plugins ontwikkeld door derden, waarvan je niet zeker of die 100% betrouwbaar zijn.

    @Karel, je zegt:

    Dat had niets met die hack te maken. Dat is juist het slimme van een dergelijke hack. De webmaster zal zoiets pas ontdekken wanneer hij of in Google Webmaster Central kijkt, of in zijn .htaccess file of wanneer hij niet meer in Google te vinden is…

    Het is zeer ernstig wanneer iemand je .htaccess kan aanpassen. Dit is: of een lek in je source of iemand heeft je ftp gehackt. Het is daarom belangrijk om te weten hoe je code in elkaar steekt.

    Reageren
  • Erik zegt:
    16 feb, 2009 om 13:18

    Alles kan gehackt worden. OUde versies van Open source voorop.

    Het is niet voor niets dat je moet blijven updaten en backuppen. Je probeert met up to date software het grootste deel buiten te houden en de rest is een kwestie van blijven checken of alles nog draait.

    Reageren
  • Rob Klaassen zegt:
    16 feb, 2009 om 14:38

    Dat is meteen mijn grootste angst van het gebruik van opensource. Lang leve een goede backup.

    Reageren
  • Stijn zegt:
    18 feb, 2009 om 13:56

    Dat is zuur. Weet je of de denial of service attack iets te maken had met deze hack?

    Reageren
    • Karel Geenen zegt:
      18 feb, 2009 om 14:03

      Weet ik niet zeker, lijkt er niet op…

  • Maarten zegt:
    18 feb, 2009 om 19:06

    Ik zie het verband eigenlijk niet tussen een DDoS en de ‘hack’.

    Reageren
  • Website promotie zegt:
    19 feb, 2009 om 12:06

    Ach ja, wat de helpdesk zegt moet je ook niet altijd geloven. Het is vaker een desk dan een helpdesk: mensen zonder verstand van zaken.

    Reageren
  • Antoine van de Kruys zegt:
    19 feb, 2009 om 15:55
  • jolande de Ruyter zegt:
    19 feb, 2009 om 16:33

    Wat een drama zeg! Mijn website heeft sinds half jan. erg veel downtime; mijn hoster wordt soms bijna dagelijks geconfronteerd met Ddos aanvallen, soms zo ernstig dat ze het hele datacenter dichtgooien. Eentje was specifiek op 1 klant gericht…en ik denk dus dat het beter is te verhuizen naar een ISO 27001 datacenter..Ook ben ik zelf binnen 2 maanden geconfronteerd met hacks van mijn gmail, en afgelopen maandag van hotmail account.Omdat div. accounts in elkaars adresboeken staan, kreeg ik opeens van mezelf emails…Gmail is een acct dat ik bijna nooit gebruik ; ik mail er niet mee. Alleen neiuwsbrieven en chat….Erg bedreigend. Email bevatten links naar shoppingwebsites..IP’s zijn niet te achterhalen, wel dat t uit China komt…

    En ik vraag me af: waar kan ik in godsnaam aangifte doen? Is hier geen Interpol voor of iets dergelijks??
    Weet iemand dat?

    Reageren
  • Thijs Lensselink zegt:
    19 feb, 2009 om 17:16

    Jammer hoor van de hack. Maar het is natuurlijk ook een wijze les. En je hebt er een zooitje goede tips aan over gehouden.

    Ik zag al dat je wordpress versie nummer hebt verwijdert. Maar dit staat ook nog in de source

    name=”generator” content=”WordPress 2.7″

    Kan je ook verwijderen met een beetje hack werk of een plugin

    http://blog.taragana.com/wp-content/uploads/2008/06/wp-header-remover.phps

    Reageren
  • Liesbeth zegt:
    19 feb, 2009 om 17:06

    dat is zeker schrikken, ik vind het verder een heel goed artikel en ben ook wel geschrokken want ik moet ook upgraden, alleen had ik een error de laatste keer en durf het niet te doen, maar ja het is nu wel duidelijk voor mij, bedankt

    Reageren
  • Wouter Volkeri zegt:
    19 feb, 2009 om 22:43

    Elk nadeel heeft uiteindelijk weer zijn voordeel. Ik vermoed namelijk dat veel leden van je nieuwsbrief extra getriggered werden door dit artikel. We zijn tenslotte allemaal ramptoeristen :-)

    Reageren
  • Monique zegt:
    20 feb, 2009 om 00:35

    Misschien heb je hier wat aan? Je wordt dan door een alert op de hoogte gesteld als je weer gehacked bent (wat we niet hopen natuurlijk!)

    http://www.blogstorm.co.uk/how-to-use-google-alerts-to-find-out-if-your-site-gets-hacked/687/

    Reageren
  • Brenno de Winter zegt:
    20 feb, 2009 om 01:27

    Kudo’s voor je openheid. Zo hoort dat in de beveiliging!

    Reageren
  • dennis zegt:
    20 feb, 2009 om 21:36

    hoerige gasten, en waarom…. een hack is leuk om aan te geven dat je beveiliging rotjes is, maar om meteen een 301 te geven ;)

    ik dank monique trouwens :)

    Reageren
  • Online Succes zegt:
    22 feb, 2009 om 22:36

    Goed stuk en goede comments.

    Was er even tussenuit. Sorry voor de late reactie.

    Ton van Houten

    Reageren
  • klaas zegt:
    23 feb, 2009 om 14:23

    Dat je in je stukje over Agloco sneaky jouw link als link gebruikt vind ik een klein beetje… zielig.

    Reageren
    • Karel Geenen zegt:
      23 feb, 2009 om 14:42

      Dat jij nog op een artikel reageert van 2 jaar geleden in een artikel wat zopas is verschenen vind ik een klein beetje… zielig.

  • Marc zegt:
    23 feb, 2009 om 22:47

    Me too, kom ik net achter. Idd htaccess op de 13e aangepast van buitenaf. Werk met Expression Engine.
    Resulteert in een terugval van bezoek met minimaal 60%.

    Reageren
  • Michael Tang zegt:
    26 feb, 2009 om 16:06

    Weet je zeker dat het een hack via WordPress is geweest? Je gaf zelf al aan dat je provider is aangevallen via een DDoS attack. Als het netwerk van je provider is gehackt dan kun je zelf vrij weinig doen namelijk.

    Reageren
    • Karel Geenen zegt:
      27 feb, 2009 om 10:41

      Ja, de hack was namelijk nadat het .htaccess bestand was aangepast.

  • Jan Terpstra zegt:
    29 apr, 2010 om 12:33

    Lijkt me een stress volle gebeurtenis…

    Reageren
  • Romson zegt:
    08 mei, 2010 om 14:55

    Ondanks dat het een oude post is moet ik toch dit vragen.

    Op wat voor stukjes code let je specifiek?

    Ik gebruik nu exploit scanner en krijg na het scannen een waslijst met resultaten, maar heb eigenlijk geen flauw idee waarop te letten.

    Hoor graag van je.

    Reageren
  • nieko zegt:
    12 aug, 2010 om 21:54

    Hier nog zo’n ramptoerist. Ook hier problemen op de site gehad.
    Mijn site verstuurde spam. Hopelijk heb is nu alles opgelost maar zeker ben ik niet. Ik vroeg me dan ook af of ik de site niet kan scannen op problemen. Zoals je ook je pc kunt scannen.

    Al veel gezocht maar nog niets gevonden.

    Hoor het graag.

    Groet

    Reageren

Reageren