Peter Pellenaars

Zaterdag, 27 augustus 2011

Mijn Word­Press web­si­te is gehackt. TimThumb bedankt…

Gis­ter­mid­dag zag ik dat mijn site niet meer onli­ne was. Er ver­scheen slechts een kor­te mel­ding: “this site is suspended”.
In eer­ste instan­tie dacht ik dat het te maken had met een aan­staan­de migra­tie van mijn site naar een ande­re ser­ver bij One.com, mijn hostingprovider.

Toen van­och­tend de mel­ding nog steeds ver­scheen, nam ik con­tact op met de ser­vi­ce­desk. Voor­dat Abby (de mij toe­ge­we­zen help­deskme­de­werk­ster) mij kon ver­tel­len wat er aan de hand was, had ik al uit de doe­ken gedaan hoe gebrui­kers­on­vrien­de­lijk ik het vond dat ze mijn site zomaar plat had­den gegooid voor migra­tie. Zon­der voor­aan­kon­di­ging. Zon­der infor­ma­tie over hoe lang dit wel niet zou gaan duren. Toen ik mijn ver­haal gedaan had, kreeg ik als ant­woord dat de migra­tie nog niet gestart was, maar dat mijn site uit voor­zorg offli­ne was gehaald omdat hij gehackt was…

Ik bood onmid­del­lijk mijn excu­ses aan en kreeg ver­vol­gens een uiterst han­di­ge instruc­tie om mijn site te repa­re­ren. De ftp-toe­gang werd open­ge­zet en ik ging aan de slag met het hier­on­der vol­gen­de stappenplan:

Abby: your site is hacked
Abby: you are requi­red to
Abby: — Delete:
Abby: wp-content/upd.php
Abby: wp-admin/upd.php
Abby: — Restore:
Abby: wp-config.php
Abby: wp-settings.php
Abby: — Dele­te or re-upload Word­Press (latest ver­si­on) and plugins/templates
Abby: — Dele­te or fix secu­ri­ty hole in (upgra­de to ver­si­on 2.8):
Abby: wp-content/plugins/igit-related-posts-with-thumb-images-after-posts/timthumb.php
Abby: More infor­ma­ti­on about the attack:
Abby: http://www.theregister.co.uk/2011/08/02/wordpress_zero_day/
Abby: http://markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/
Abby: TimThumb 2.8:
Abby: http://timthumb.googlecode.com/svn/trunk/timthumb.php
Abby: once you resol­ve the issue, get back to us

Nadat ik deze stap­pen (met klot­send zweet in mijn oksels) nauw­ge­zet had uit­ge­voerd, nam ik opnieuw con­tact op met de ser­vi­ce­desk. Daar werd gecon­sta­teerd dat alles er weer ‘clean’ uit­zag en werd de site onli­ne gezet.

Een­maal onli­ne zag ik dat alle blogs niet ver­lo­ren waren gegaan, maar wel alle media­fi­les, zoals plaat­jes, film­pjes en muziek. Geluk­kig had ik niet zo lang gele­den een bac­kup gemaakt, dus toen was het nog een kwes­tie van tijd voor­dat dit ook gefixt was.

Op dit moment is mijn site weer zo goed als de oude. Mijn medi­a­bi­bli­o­theek loopt een paar week­jes ach­ter, dus daar moet ik nog wat tijd in ste­ken. Ver­der mis ik een aan­tal wid­gets en plu­gins. Maar omdat ik altijd in een log­boek bij­houd wel­ke ik geïn­stal­leerd heb, kan ik die mak­ke­lijk terug­vin­den. En het is met­een weer eens een mooie (nood­ge­dwon­gen) oprui­ming van ge-uplo­a­de bestan­den die ik toch al niet meer gebruikte.
Elk nadeel heb z’n voor­deel, om maar weer eens een cli­ché te gebruiken.

Wat betreft de reden voor deze ellen­de. Het blijkt dat een script, genaamd timthumb.php de boos­doe­ner is. Dit script zorgt ervoor dat afbeel­din­gen dyna­misch aan­ge­past wor­den in je web­brow­ser. In dit script zit een bevei­li­gings­lek wat door hac­kers is ont­dekt. Helaas is dit popu­lai­re script in vele Word­Press thema’s opge­no­men. Dus de kans is groot dat jij ook een gede­gen kans loopt dat je web­si­te gehackt wordt indien je niet tij­dig de juis­te voor­zorgs­maat­re­ge­len treft.

Loop je tegen het­zelf­de pro­bleem aan, dan hoop ik dat boven­staan­de instruc­ties (incl links naar ver­de­re info) kun­nen hel­pen om het gere­pa­reerd te krijgen.
Wil je meer neder­lands­ta­li­ge info over de ach­ter­grond van dit pro­bleem, kijk dan eens hier:
http://wpspeciali.st/2000-wordpress-installatie-gevaar-timthumb/
of hier:
http://webwereld.nl/nieuws/107548/gehackte-wordpress-blogs-verspreiden-malware.html

En ondanks dat ik ver­re van een Word­Press expert of der­ge­lij­ke ben, neem gerust con­tact op of laat een reac­tie ach­ter wan­neer je vra­gen hebt over hoe ik mijn site weer gere­pa­reerd heb gekregen.

En ver­der zou ik het erg op prijs stel­len wan­neer je ande­re / bete­re infor­ma­tie hebt over dit pro­bleem, om dit in een reac­tie ach­ter te laten. Ter lering ende sup­port, zeg maar.

Reacties

  1. Carel

    zo hou je jezelf wel van de straat;-)

    1. Peter

      Als­of ik niets anders te doen had…
      Maar ik ben allang blij dat ik met de juis­te instruc­ties, wat lezen her en der, en door regel­ma­tig te bac­kup­pen mijn site weer onli­ne heb. Nu nog wat klei­ner her­stel­werk en alles is weer bij het oude.

  2. Merel

    Ik zou een hal­ve hart­ver­zak­king heb­ben gekre­gen… Mijn ken­nis is zoda­nig beperkt dat ik me maar in gerust­heid ga wen­te­len, nu ik mijn the­me niet in de lijst zie staan die de eer­ste link in jouw blog weer­geeft. Want de rest is voor mij toch hoge­re wis­kun­de taal… Maar jij hebt het over een back up… Mijn back up sys­teem gaat niet ver­der dan een docu­ment­je per geschre­ven blog. Mocht je daar nog tips voor mij voor heb­ben om dat han­di­ger te doen, dan zou je me zeer blij maken!

    1. Peter

      Als ik jou was zou ik me toch maar even ver­die­pen in het maken van een bac­kup. Een goe­de site om mee te begin­nen is:
      http://www.homepage-maken.nl/weblog/wordpress-backup-maken.php
      Hier wor­den de twee bac­kups die je moet maken dui­de­lijk uit­ge­legd. Je moet name­lijk zowel een bac­kup maken van je Word­Press site (dus van het the­ma, de bestan­den, de plu­gins, etc.) en een bac­kup van je berich­ten (de blogs die je schrijft).
      Ik hoop dat het arti­kel je kan hel­pen om bac­kups te maken, want je zult zien dat je enorm zult balen wan­neer er iets mis gaat en je hebt geen bac­kups gemaakt.
      Suc­ces. En indien nodig wil ik je altijd helpen.

      1. Merel

        Dank­je­wel! Ik ga er werk van maken! (want een gewaar­schuwd mens…)

  3. Monique

    Jee­tje, ik wist niet eens dat zoiets kón… abacadabra