Uw website is gehacked. Uiteraard heel vervelend, en u wilt zo snel mogelijk weer online zijn. Maar hoe achterhaald u nu welke bestanden allemaal geïnfecteerd zijn ?
Dit artikel probeert wat handreikingen te geven waarmee u in staat zou moeten zijn om te achterhalen waar uw hack vandaan komt en welke bestanden allemaal geïnfecteerd zouden kunnen zijn.
Doorzoek uw logs !
Belangrijk start punt zijn uw logs. In principe is dat nog de enige plek waar u kunt achterhalen wat er gebeurd. Hierbij zal de 'access.log' van uw webserver software (bv. apache) uw vriend moeten worden.
Doorzoek de access.log op 'POST' opdrachten. Doe dit eventueel specifiek over de periode waarin de hack (vermoedelijk) ontstaan is.
Voor unix gebruikers :
Met het volgende commando krijgt u een overzicht van alle 'POST' opdrachten gesorteerd op de grootste aantallen eerst
cat access_log | grep POST | awk {' print $7'} | sort | uniq -c | sort -nr
Uiteraard zullen hieruit een aantal naar voren komen die normaal zijn, zoals bijvoorbeeld van het inloggen. Doorzoek de lijst op vreemde bestandsnamen die geraadpleegd worden. Dit zijn potentieel verdachte probleem bestanden. Vaak lijken de bestandsnamen op die van normale bestanden. Bv 1ndex.php waar 'i' vervangen is door een '1'.
Verder kan het een aanwijzing zijn als bepaalde 'POST' urls zeer vaak gebruikt worden. Ga voor deze urls na of de toegang er naar toe veel van eenzelfde ip address afkomstig is. Vervolgens kunnen ook andere activiteiten vanaf dit adres achterhaald worden. En op basis daarvan kan vervolgens achterhaald worden welke bestanden er eventueel verantwoordelijk zijn voor het lek. Dit zou dan, bijvoorbeeld, weer terug te herleiden kunnen zijn naar een specifieke component van uw CMS.
Vergelijk backups
Een relatief eenvoudige manier om te achterhalen welke bestanden aangepast zijn, is het vergelijken met een goede backup. Maar wees er dan zeker van dat deze backup nog is van de periode dat uw site nog niet gehacked was !
Scannen van alle bestanden
Het opzoeken van bestanden die gehacked zouden kunnen zijn, is monniken werk. Vaak staan er zoveel bestanden op het systeem dat het ondoenlijk is om deze handmatig door te zoeken. Daarbij komt dan nog dat je de code in die bestanden ook nog eens moet kunnen interpreteren.
Er zijn hiervoor ook scripts op het internet te vinden die veel werk voor u kunnen wegnemen. Kijk bijvoorbeeld maar eens naar NeoPI (https://github.com/Neohapsis/NeoPI).
Ga er niet blind van uit dat de bestanden die uit een dergelijke scan naar voren komen ook daadwerkelijk geïnfecteerd zijn. Maar controleer deze bestanden wel. Zo mogelijk kunt u ze vergelijken met de originele bestanden zoals deze via de leverancier zijn aangeleverd.
Handmatig zoeken
Het stuk voor stuk handmatig doorlopen van uw bestanden is het allerlaatste wat u zou kunnen doen. Maar voordat die stap genomen wordt kunt u nog gebruik maken van wat algemene zoek functies op uw systeem waarmee u door uw bestanden kunt laten zoeken. Maar daarvoor dient u natuurlijk ook te weten waarop gezocht moet worden !
Zo kunt u in uw bestanden op zoek naar 'eval' gecombineerd met 'base64_decode'.
Het zoeken naar deze combinatie zal (opnieuw) veel bestanden ophoesten waarvan niet zeker is dat ze ook daadwerkelijke een hack weergeven. Bovendien kunnen hackers deze combinatie omzeild hebben, dus is het geen garantie dat u hiermee alle hacks boven tafel krijgt.
Verder kunt u, zeker op sites die niet regelmatig aangepast worden, op zoek naar bestanden die in de afgelopen tijd zijn geplaatst of aangepast. Dit is nog altijd niet waterdicht, omdat ook de timestamp van bestanden door een hacker aangepast zou kunnen zijn.
Gebruik bijvoorbeeld op unix systemen de optie '-mtime' bij het 'find' commando.
Gevonden !!
Ja, je hebt het aangetast bestand gevonden !!!
Maar denk niet bij het eerste bestand dat je het probleem gevonden hebt. In tegendeel, je hebt een symptoom van de hack gevonden. Want hoe kon dit bestand nu op die plek terecht komen, danwel hoe kon het aangepast zijn ? En is dit wel het enigste bestand ?
Als het goed is, heb je al diverse acties ondernomen, waaronder updates van de software, om eventueel bekende exploits op te lossen. Maar het kan geen kwaad nog even verder te kijken en te achterhalen via welke exploit het bestand nu daadwerkelijk op je systeem terecht gekomen is.
Vaak kun je, op basis van wat in de logs terug gevonden wordt in combinatie met waar een geïnfecteerd bestand staat achterhalen welk onderdeel van de website misbruikt is geweest. Controleer ook of je hiervan inmiddels ook de nieuwste versie geïnstalleerd hebt.
Terug online
Nadat u uw website weer helemaal opgeschoond hebt, de laatste versies geïnstalleerd heeft, en zich er zo goed mogelijk van vergewist hebt dat het lek gedicht zou moeten zijn, kan de site weer online. Laat de site, alvorens iedereen te informeren dat u weer online bent, eerst nog een tijdje actief draaien om te zien of inderdaad geen nieuwe hacks meer worden uitgevoerd.
En als u uiteindelijk helemaal online gaat, vergeet dan niet om iedereen die u reeds geïnformeerd had over de hack, ook te informeren over het weer online zijn. Eventueel met een herhaald verzoek om hun wachtwoorden aan te passen.
Lees ook eens ons artikel “Beschermen tegen hackers”.
Hulp
We zijn ons ervan bewust dat dit artikel algemeen is opgesteld. Maar de verschillende soorten hacks, en manieren waarop een hack zich laat identificeren zijn dusdanig groot dat het ondoenlijk is om dit in 1 artikel te bevatten.
Naarmate we vaker met hacks te maken krijgen, zullen we specifieke artikelen maken die de analyse en het oplossen beschrijven. Zodat we uit eigen ervaring u op weg kunnen helpen.
Indien u zelf niet de juiste technische kennis heeft, of gewoon hulp wilt hebben bij het oplossen van uw problemen, neem dan, geheel vrijblijvend, contact op met storeitonline om te kijken of en hoe wij u kunnen assisteren.
