Herstel website

Posted by: | Posted on: april 4, 2019

Bezoekers van de Wereldwinkel Hoorn hebben het ongetwijfeld gemerkt dat de website onregelmatig en ongewenst gedrag vertoonde. Er waren vooral veel redirects: de website stuurde door naar voor ons onbekende en dubieuze websites. Inmiddels heb ik ingegrepen en de website weer schoon op de rails gekregen. Hieronder leg ik uit wat er precies aan de hand was.

Op 2 april 2019 ontdekte ik onregelmatigheden in het gedrag van de website. Ik kon niet bezoeken en inloggen op de website was niet mogelijk: ik werd voortdurend ergens anders heen geleid.

Klik voor groot

Na inloggen op de hoster kon ik de database bekijken. Daar trof ik naast de beheerderslogin, nog twee andere vreemde accounts aan. Die hadden zich aangemeld op respectievelijk 20 en 21 maart. Die accounts verwijderde ik en ik herstelde het beheerdersaccount.
De installatiebestanden zelf waren een groter probleem. Ik trof nogal wat bestanden (allemaal index.php) aan die stuk voor stuk een redirect hadden. Allemaal besmet. Die herstelde ik tot ik overtuigd was dat alle bestanden schoon waren.
Niettemin bleven de redirects opduiken, zowel aan de frontend als de backend. Inloggen en doorklikken kon alleen heel snel door het laden van de pagina te stoppen. De bron van de besmetting – er moest nog iets zijn dat ging redirecten – was nog niet boven water.

Op 3 april dook ik wat dieper in de code. Het viel mij al op dat de redirects zichtbaar waren op alle machines. Dat duidde op een websiteprobleem. In de source van alle pagina’s was ook een script zichtbaar die een link naar een bepaalde site bevatte. Die link kreeg ik op dat moment nog niet weg en ondanks lang en veel speurwerk bleef de oorzaak van de linkinjectie verborgen. Dat was frustrerend.

Die middag besluit ik maar de hele site te verwijderen en opnieuw te bouwen. Niet blijven snuffelen, maar pats, database en installatie compleet weg en alles opnieuw installeren. Dat leek mij de weg van de minste weerstand. Een site moest wel zichtbaar zijn, en het duurde mij allemaal een beetje te lang inmiddels. Een schone backup kon ik echter niet plaatsen, want de beschikbare backups gingen terug tot 22 maart – dus van na de besmetting.

Dus alles compleet verwijderd en een nieuwe installatie uitgevoerd.

Na inloggen op de nieuwe installatie… kreeg ik de redirects weer! Een nieuwe installatie leek niets uit te maken. In eerste instantie vermoedde ik een besmetting bij de hoster zelf, maar die verzekerde mij dat er niets gevonden was. Het bijzondere was nu dat de redirects nu alleen op mijn MacBook plaatsvonden – niet op Windows, niet op Linux, niet op de telefoon. Een andere browser (Safari, ik gebruik standaard het platformonafhankelijke Firefox) was ook rustig en toonde ook alleen de website. Er was nu blijkbaar een lokale besmetting op Firefox.

Niet alleen dus een besmetting op de site, maar ook lokaal.

Klik voor groot

Ik draai een virustool op mijn MacBook en inderdaad worden er vier trojans gevonden en in quarantaine gezet. Zie bijlage. Die moesten ergens vandaan komen.

Mijn sterke vermoeden is nu (nou ja, ik weet het wel zeker) dat de redirects van deze site waren ingesteld na een hack – er waren twee onbekende accounts gevonden. Die redirects leidden naar een variatie van andere sites waaronder een paar met een drive-by besmetting – alleen al een bezoek is genoeg voor een besmetting. Die heb ik de laatste dagen ook gezien, als ik weer eens werd doorgeleid. Dat moest al alarmbellen doen afgaan.

Mijn conclusie is dus:
er was een besmetting door een hack. Dat alleen al was reden tot ingrijpen. Die hack leidde tot redirects naar ander sites, waaronder een paar met drive-by trojans.

Het was voor mij reden om a. de site helemaal opnieuw te bouwen, en b. mijn MacBook op malware te checken. Die scan leverde vier hits op en is nu schoon.

De site verklaar ik nu als schoon en veilig. Er zijn geen ongewenste bestanden en onregelmatigheden meer aangetroffen.

Jan van der Knaap
Beheerder
www.candela-fotografie.nl
Utrecht






Comments are Closed