Alvorligt hackerangreb på WordPress – læs hvordan du finder og fjerner

23-04-10 brianbrandt 3 kommentarer

Der er for tiden nogle ret onde og meget udspekulerede hackere på spil. De udnytter forskellige huller i din servers sikkerhed, eller huller i din WordPress sikkerhed. Det er klart det værste eksempel jeg endnu har set.

Resultatet af deres hacking er, at alle dine title bliver “cloaked”, og ender med at se ud som på følgende billede:

cloakede title tags

Det må jo siges ikke at være de sjoveste tekster. Herover er det freelancejournalist Hans Henrik Lichtenberg der er ramt. Hvor mange har lige lyst til at klikke sig ind på sådan en blog?

Analyser om du er ramt

Det første du skal gøre for at se om du er ramt, er at gå på google.dk. Her skal du i feltet skrive

site:www.ditdomæne.dk

Når du gør det, laver du en “site-søgning”, det vil sige du søger kun på din hjemmeside. Hvis alle dine overskrifter har noget med Pharmacy eller andet snusk – så er du ramt og skal tage det meget alvorligt.

Fjernelse af Pharmacy hacket

Nu bliver det kompliceret og ret svært – da jeg efterhånden har set flere forskellige slags eksempler på hvordan ens blog er hacket.

Chris Pearson har skrevet en god artikel om Pharma hacket, som hjalp mig i første omgang med at fjerne et hack – men jeg har opdaget flere slags tilfælde end han beskriver.

Først skal du lede efter de inficerede filer på dit webhotel. Som Chris Pearson skriver, så kan de komme i en række forskellige former.

  1. .akismet.cache.php
  2. .akismet.bak.php
  3. .akismet.old.php
  4. class-akismet.php
  5. db-akismet.php

Jeg har dog fundet dem andre steder også. Specielt din “index.php” fil i mappen /wp-content har jeg set ramt flere gange. Du kan se om din index.php er ramt ved at downloade den til din computer og redigere den. Hvis det der kommer frem ser ud som følgende, så er du ramt:

ond kode i din index.php fil

Koden i den fil skal se ud som dette:

<?php
// Silence is golden.
?>

Jeg har oplevet at finde onde filer langt inde i plugin mapper, ofte forklædt som rigtige php filer. Læg mærke til på følgende billede, den fil der hedder “functions_last.php” var befæsted med hackerens kode.

onde filer

Det værste er dog, at jeg har set eksempler på, hvor jeg simpelthen måtte re-uploade alle WordPress core filerne for at få ryddet helt op. Hackerangrebet blev simpelthen ved med at opstå.

Det endte med at vi måtte lave et nyt kodeord, både til FTP login og til Mysql login – først da stoppede angrebene.

Fjernelse af Pharma hacket i databasen

Når du har fået fjernet alle de grimme filer, og der er ikke andet at gøre end at gå alle dine mapper igennem på webhotellet, eller simpelthen at slette alle plugins og starte forfra med en ren upload. Husk at skifte dit FTP login kodeord inden du gør det.

Nu skal du ind i din PHPmyadmin og slette resterne efter WordPress hacket. Log ind og find den tabel der hedder:

wp-options

Igen har Chris Pearson en fin liste du bør bruge. Jeg har kun oplevet den med RSS rækkerne der er blevet tilføjet – men de andre skal man også holde udkig efter:

  • wp_check_hash
  • class_generic_support
  • widget_generic_support
  • ftp_credentials
  • fwp
  • rss_%Attention! In this case, you should delete all matches except rss_language, rss_use_excerpt, and rss_excerpt_length (these are legit WordPress database entries).

I mit tilfælde kom der følgende liste når jeg søgte på RSS_%

rss rækker i database

Det er ikke et kønt syn vel? Fjern alle de rækker, pånær de to nederste du ser på mit billede. Det vil sige du skal lade “rss_language” og “rss_use_excerpt” være. Der kan være en række mere du ikke skal fjerne, men det afhænger af din indstillinger. Bare fjern alle dem som ser meget mystiske ud.

Konklusion på WordPress hacket

Dette er en meget ondartet en af slagsen, specielt på grund af to ting:

  1. Du opdager den først, hvis du søger i Google efter dit eget website.
  2. Hackerne er meget aggressive og jeg tror dette er et manuelt hack – da jeg alle filerne der er lagt op, ikke rigtig har noget mønster, som en robot ofte vil arbejde efter. Jeg har også fået fjernet alt, og så dagen efter kom de tilbage, da de åbenbart havde fået tillusket sig FTP adgang.

Med mindre du er meget teknisk mindet og du ved hvad du laver i din database og på dit webhotel, så vil jeg anbefale dig at kontakte mig for at få hjulpet dig af med problemet. Der er masser af ting som kan gå galt undervejs.

Se først om du er ramt – hvis ja, så skynd dig at ring 3049 4007



Discussion

  • Anette Sand

    Tak for en super god vejledning 🙂

    23-04-10
  • Freelancejournalist Hans Henrik Lichtenberg

    Hej, og tak for hjælpen med at få fjernet hacket.

    🙂

    23-04-10
  • Søren Vase Stage

    Jeg har også problemer med Pharma hackere. Hvis jeg kan få et software program der fjerner disse mærkelige og morderiske pharma hackere fra selve WordPress firmaet, så vil jeg være taknemmelig for det.
    På forhånd tak.

    23-04-10
  • Der er lukket for kommentarer