Byte hanteert een strak Abuse beleid omtrent misbruik van sites. Gehackte websites schakelen we uit en we informeren de klant hier direct over. De risico’s van een gehackte site zijn groot. Daarom zijn we genoodzaakt de site uit te schakelen totdat de hack is opgelost door de technisch beheerder. Bekijk ons volledige Abuse Beleid.

In dit artikel leggen we uit hoe een website gehackt kan worden, hoe je een gehackte website kunt herstellen en hoe je dit voorkomt.

Hoe kan een site gehackt worden?

De meeste sites worden gehackt door een “lekke website”. Een lekke site is een site met een verouderd CMS en/of bijvoorbeeld een niet (meer) veilige plug-in. Hierdoor kunnen kwaadwillenden zich toegang verschaffen tot de website en onder andere eigen code toevoegen. Er is dan misbruik gemaakt van een veiligheidslek in de site. Daarom is het van groot belang dat websites altijd geüpdatet worden naar de nieuwste, veilige versie van hun CMS en dat dit ook voor alle extensies en plugins wordt gedaan.

Bekijk de presentatie over hoe een hack in zijn werk gaat.

Hack via FTP

Alle recente via FTP gewijzigde bestanden worden gescand op kenmerken van hacks. Het is namelijk mogelijk dat het FTP wachtwoord is onderschept en dat op die manier toegang is verkregen tot de hostingruimte.

SPAM verstuurd vanaf domein

Regelmatig worden gehackte websites gebruikt om flinke hoeveelheden SPAM te versturen. Maar het zou ook kunnen dat bijvoorbeeld een onvoldoende beveiligde module op de site actief is waarmee je bepaalde pagina’s aan vrienden kan tippen, waardoor het verzenden van berichten hiermee geautomatiseerd kan worden.

Hoe detecteren wij een hack?

Byte heeft een aantal scripts lopen waarmee gedetecteerd wordt of een hack plaatsgevonden heeft. Het zijn scripts die bijvoorbeeld het FTP verkeer in de gaten houden en alarm geven op het moment dat er verdachte bestanden geüpload worden.

Het nalopen van deze meldingen kost erg veel tijd. Een dergelijke melding hoeft namelijk niet te betekenen dat er daadwerkelijk een hack plaatsgevonden heeft. Vaak zijn het scripts die veel kenmerken hebben van een hack maar volkomen legitiem zijn. Toch is het belangrijk dat we deze meldingen nalopen om de stabiliteit van ons netwerk te waarborgen.

Ook de e-mail wachtrij wordt actief in de gaten gehouden. Op het moment dat we constateren dat een website of e-mailaccount de mailqueue vol zet zullen we de site uitschakelen om te voorkomen dat onze mailservers geblacklist worden.

Toegang tot de website tijdens uitschakeling

Je website staat Under Construction

afb. 1 Je website staat Under construction

Wanneer wij een website uitschakelen, komt er voor je website een Under construction pagina te staan (zie afbeelding 1). Deze pagina is zelf aan te passen naar eigen smaak. Hiervoor maak je een eigen site_disabled.html en site_disabled.png bestand en upload je deze naar je webruimte. Wanneer je deze bestanden in de hoofdmap plaatst, zal onze Under Construction vervangen worden door je zelfgemaakte HTML pagina.

Meer informatie over de toegang en het onderhoud van je website tijdens uitschakeling lees je in het artikel Toegang en Onderhoud Website tijdens Hack-uitschakeling

Een hack oplossen

Om een gehackte website op te schonen is het van belang om goed te weten waar je naar moet kijken. Er is geknoeid met de code van je website en daar moet ook grondig naar gekeken worden. Meer informatie daarover kun je lezen in het artikel Schadelijke Bestanden Opsporen. In dit artikel staan enkele nuttige tips en Shell commando’s opgesomd waarmee je geïnfecteerde bestanden kunt opsporen.

Behalve dat er goed naar de code gekeken moet worden, is het ook verstandig om alle wachtwoorden van je website (klantwachtwoord, database wachtwoord en ftp gebruiker wachtwoord) te wijzigen. Met een virusscanner je computer scannen is hierbij ook aan te raden.

Wat je precies kunt doen, om je website te herstellen lees je in het artikel Herstel Website Na Hack.

Hoe voorkom je een hack?

Een website vergt altijd onderhoud. Ook al wijzigt er qua inhoud en lay-out nauwelijks iets aan een website, het CMS en alle plugins/extensies moeten onderhouden worden. Zo voorkom je veiligheidslekken en dus hacks. Zelf niet zo handig met website ontwikkeling? Sluit een onderhoudscontract af met de partij die de site gemaakt heeft of raadpleeg één van onze partners.

Meer informatie over onderhoud en een dergelijk onderhoudscontract vind je op de pagina Website Onderhoud.

Je kunt de tool Sucuri Scurity Scan gebruiken om te raadplegen welke componenten van je site verouderd zijn en geüpdatet moeten worden. Meer informatie hierover vind je op de pagina Sucuri Security Scan.

Hulp nodig?

Byte kan detecteren of een site gehackt is. Hoe een hacker precies te werk is gegaan, is voor ons helaas niet te analyseren. Dit is het terrein van de technisch beheerder. Wij zijn gespecialiseerd in hosting. Webontwikkeling is een heel ander specialisme. Wij kunnen daarom helaas geen support leveren in abuse cases. Mocht je hulp nodig hebben, raadpleeg dan één van onze partners.

Relevante pagina’s

30