Mijn WordPress website is gehackt. TimThumb bedankt…

Gis­ter­mid­dag zag ik dat mijn site niet meer online was. Er ver­scheen slechts een korte meld­ing: “this site is sus­pend­ed”.
In eerste instantie dacht ik dat het te mak­en had met een aanstaande migratie van mijn site naar een andere serv­er bij One.com, mijn host­ing­provider.

Toen vanocht­end de meld­ing nog steeds ver­scheen, nam ik con­tact op met de ser­vicedesk. Voor­dat Abby (de mij toegewezen helpdeskmedew­erk­ster) mij kon vertellen wat er aan de hand was, had ik al uit de doeken gedaan hoe gebruik­er­son­vrien­delijk ik het vond dat ze mijn site zomaar plat had­den gegooid voor migratie. Zon­der vooraankondig­ing. Zon­der infor­matie over hoe lang dit wel niet zou gaan duren. Toen ik mijn ver­haal gedaan had, kreeg ik als antwo­ord dat de migratie nog niet ges­tart was, maar dat mijn site uit voor­zorg offline was gehaald omdat hij gehackt was…

Ik bood onmid­del­lijk mijn excus­es aan en kreeg ver­vol­gens een uiterst hand­i­ge instruc­tie om mijn site te repar­eren. De ftp-toe­gang werd opengezet en ik ging aan de slag met het hieron­der vol­gende stap­pen­plan:

Abby: your site is hacked
Abby: you are required to
Abby: — Delete:
Abby: wp-content/upd.php
Abby: wp-admin/upd.php
Abby: — Restore:
Abby: wp-config.php
Abby: wp-settings.php
Abby: — Delete or re-upload Word­Press (lat­est ver­sion) and plugins/templates
Abby: — Delete or fix secu­ri­ty hole in (upgrade to ver­sion 2.8):
Abby: wp-content/plugins/igit-related-posts-with-thumb-images-after-posts/timthumb.php
Abby: More infor­ma­tion about the attack:
Abby: http://www.theregister.co.uk/2011/08/02/wordpress_zero_day/
Abby: http://markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/
Abby: TimThumb 2.8:
Abby: http://timthumb.googlecode.com/svn/trunk/timthumb.php
Abby: once you resolve the issue, get back to us

Nadat ik deze stap­pen (met klot­send zweet in mijn oksels) nauwgezet had uit­gevo­erd, nam ik opnieuw con­tact op met de ser­vicedesk. Daar werd gecon­sta­teerd dat alles er weer ‘clean’ uitzag en werd de site online gezet.

Een­maal online zag ik dat alle blogs niet ver­loren waren gegaan, maar wel alle medi­afiles, zoals plaat­jes, film­p­jes en muziek. Gelukkig had ik niet zo lang gele­den een back­up gemaakt, dus toen was het nog een kwest­ie van tijd voor­dat dit ook gefixt was.

Op dit moment is mijn site weer zo goed als de oude. Mijn medi­a­bib­lio­theek loopt een paar week­jes achter, dus daar moet ik nog wat tijd in steken. Verder mis ik een aan­tal wid­gets en plu­g­ins. Maar omdat ik alti­jd in een log­boek bijhoud welke ik geïn­stalleerd heb, kan ik die makke­lijk terugvin­den. En het is meteen weer eens een mooie (noodged­won­gen) opruim­ing van ge-uploade bestanden die ik toch al niet meer gebruik­te.
Elk nadeel heb z’n voordeel, om maar weer eens een cliché te gebruiken.

Wat betre­ft de reden voor deze ellende. Het blijkt dat een script, genaamd timthumb.php de boos­doen­er is. Dit script zorgt ervoor dat afbeeldin­gen dynamisch aangepast wor­den in je web­brows­er. In dit script zit een beveilig­ingslek wat door hack­ers is ont­dekt. Helaas is dit pop­u­laire script in vele Word­Press thema’s opgenomen. Dus de kans is groot dat jij ook een gede­gen kans loopt dat je web­site gehackt wordt indi­en je niet tijdig de juiste voor­zorgs­maa­trege­len tre­ft.

Loop je tegen het­zelfde prob­leem aan, dan hoop ik dat boven­staande instruc­ties (incl links naar verdere info) kun­nen helpen om het gere­pa­reerd te kri­j­gen.
Wil je meer ned­er­land­stal­ige info over de achter­grond van dit prob­leem, kijk dan eens hier:
http://wpspeciali.st/2000-wordpress-installatie-gevaar-timthumb/
of hier:
http://webwereld.nl/nieuws/107548/gehackte-wordpress-blogs-verspreiden-malware.html

En ondanks dat ik verre van een Word­Press expert of dergelijke ben, neem gerust con­tact op of laat een reac­tie achter wan­neer je vra­gen hebt over hoe ik mijn site weer gere­pa­reerd heb gekre­gen.

En verder zou ik het erg op pri­js stellen wan­neer je andere / betere infor­matie hebt over dit prob­leem, om dit in een reac­tie achter te lat­en. Ter ler­ing ende sup­port, zeg maar.

~ ~ ~

6 Comments

Alsof ik niets anders te doen had…
Maar ik ben allang blij dat ik met de juiste instruc­ties, wat lezen her en der, en door regel­matig te back­up­pen mijn site weer online heb. Nu nog wat klein­er her­stel­w­erk en alles is weer bij het oude.

Ik zou een halve hartverza­kking hebben gekre­gen… Mijn ken­nis is zodanig beperkt dat ik me maar in gerus­theid ga wen­te­len, nu ik mijn theme niet in de lijst zie staan die de eerste link in jouw blog weergeeft. Want de rest is voor mij toch hogere wiskunde taal… Maar jij hebt het over een back up… Mijn back up sys­teem gaat niet verder dan een doc­u­men­t­je per geschreven blog. Mocht je daar nog tips voor mij voor hebben om dat hand­i­ger te doen, dan zou je me zeer blij mak­en!

Als ik jou was zou ik me toch maar even verdiepen in het mak­en van een back­up. Een goede site om mee te begin­nen is:
http://www.homepage-maken.nl/weblog/wordpress-backup-maken.php
Hier wor­den de twee back­ups die je moet mak­en duidelijk uit­gelegd. Je moet namelijk zow­el een back­up mak­en van je Word­Press site (dus van het the­ma, de bestanden, de plu­g­ins, etc.) en een back­up van je bericht­en (de blogs die je schri­jft).
Ik hoop dat het artikel je kan helpen om back­ups te mak­en, want je zult zien dat je enorm zult balen wan­neer er iets mis gaat en je hebt geen back­ups gemaakt.
Suc­ces. En indi­en nodig wil ik je alti­jd helpen.

Geef een reactie