NeoPI Security Scan


Tags: beveiligingSecurity

Met de handige security scan NeoPi ben je hackers altijd een stap voor. Hackers hebben vaste trucjes om de malafide bestanden die ze op jouw site plaatsen niet op te laten vallen. NeoPI weet precies waar je op moet letten.

Technisch gezien is NeoPI een Python script dat een aantal statistische methoden gebruikt om verdachte inhoud in teksten en scripts op te sporen. Het doel van NeoPI is om jou te helpen in het zoeken naar verborgen web shell code, een kwaadaardig stukje code waarmee toegang tot bestanden op je site verkregen kan worden.

Kan ik NeoPi gebruiken op mijn pakket?

NeoPi is inbegrepen in de volgende hostingpakketten:

Hoe NeoPI jou helpt je website schoon te houden

Hackers hebben vaste trucjes om de malafide bestanden die ze op jouw site plaatsen niet op te laten vallen. NeoPI weet precies waar je op moet letten. De tool scant alle bestanden van jouw website die op onze servers staan. Deze scan bestaat uit een aantal tests die deze bestanden beoordeelt op hoe verdacht deze zijn en geeft elk bestand een score mee. Op basis van de resultaten uit deze scan, kun je gericht op onderzoek uit gaan. Dit bespaart je een hoop tijd! Hoe je je site kan laten scannen en hoe je de resultaten kunt uitlezen wordt hieronder uitgelegd. Meer technische info over hoe de tool te werk gaat? Lees het hier

NeoPI voert een aantal scans uit en voor elke scan wordt een top tien ‘hits’ gegenereerd. Dat zijn nogal wat bestanden! Deze resultaten lijken misschien verwarrend (wat is nou wel en niet geïnfecteerd?). Dat komt omdat er te veel mogelijkheden zijn om backdoors en webshells in te richten en dat het dan ook lastig is om hier gericht op te zoeken. Vandaar dat dit programma een top tien maakt van “hits” per kenmerk. Als je dit programma los laat op een site met tien (schone) php bestanden, zal hij alsnog zes top tien’s maken waarbij de volgorde van deze bestanden zal verschillen.

Deze tien bestanden zijn zeker het bekijken waard! Ook al ken je de bestanden, voor het zelfde geld heeft iemand er code aan toegevoegd. Deze scan vindt absoluut niet alles, maar biedt mogelijk een vliegende start ten opzichte van de hooiberg waar je aan begon.

Activeer de NeoPI scan via het Service Panel

Via het Service Panel kan je aan de slag met NeoPI, mits je de rol van Contractant en/of Technisch Beheerder hebt. Volg de onderstaande stappen om NeoPI te gebruiken:

  1. Log in op het Service Panel.
  2. Selecteer je domeinnaam.
  3. Ga naar tabblad Analyse.
  4. Klik op de optie Security scan.
  5. Klik op NeoPI en klik vervolgens op de knop ‘Scan met NeoPI’

Draai NeoPi via SSH

Via SSH is het ook mogelijk om een NeoPI scan te draaien. Dit is beschikbaar op de Clusterhosting, en Magento Dedicated omgevingen (niet op Hypernode). Met het commando neopi kun je zien welke opties er allemaal zijn. Met het onderstaande commando kun je een specifieke locatie laten scannen:

neopi.py -a /home/users/domeiftp/domein.nl

Hiermee krijg je een lijst met de resultaten van alle checks.

Waar NeoPI op controleert

NeoPI scant direct alle bestanden op de server. Er worden een aantal tests gedaan waarbij ieder bestand een score krijgt. Hoe slechter (hoger getal) het bestand scoort, hoe groter de kans dat het een gevaarlijk bestand betreft. NeoPI bestaat uit verschillende onderdelen, bij elk onderdeel worden altijd de 10 slechtst scorende bestanden getoond.

Let wel op, NeoPI toont per onderdeel altijd de 10 slechtst-scorende bestanden. Dat betekent dat, ook als je site geen enkel gevaarlijk bestand bevat, er toch 10 resultaten worden getoond. Verwijder dus nooit zomaar een bestand!.

De onderdelen:

Cumulative
Cumulative geeft aan welke bestanden over alle tests genomen het meest opvallen. We adviseren je deze bestanden in ieder geval goed na te kijken.

Index of Coincidence & Entropy
De onderdelen Index of Coincidence en Entropy kijken hoe waarschijnlijk het is dat de samenstelling van de inhoud van de bestanden willekeurig is. Als een lettercombinatie een hoge kans heeft dat deze bij toeval zo is geplaatst, dan wordt de kans op een onveilig bestand groter. Als je zelf aan het coden bent gebruik je natuurlijk normale woorden waarvan de kans dat deze zijn samengesteld uit een toevallige combinatie van letters kleiner is.

Longest word
Het onderdeel Longest word kijkt (zoals de naam al zegt) naar de samenstelling van het langste woord. Verdachte code wordt namelijk vaak als een lange reeks van gecodeerde tekst opgeslagen.

Signature & SUPER Signature
De Signature en SUPER Signature zoeken naar specifieke PHP functies die als gevaarlijk te boek staan.

Analyseer zelf de top 10 bestanden

We raden je aan de bestanden die worden getoond in het bovenste onderdeel (Cumulative) in elk geval goed te controleren. Dit zijn namelijk de 10 bestanden die de grootste kans hebben dat het een gevaarlijk bestand betreft. Controleer goed de top 10 bestanden die NeoPI aanduidt als verdacht. Kijk eerst of je het bestand kent. Bekijk de inhoud van het bestand en let op of alle code die daar staat herkenbaar is.

Wanneer je een gevaarlijk bestand hebt gevonden, bevindt zich ergens in je site een lek. Meestal wordt dit veroorzaakt door software die niet up-to-date is. Controleer je CMS en alle plugins en installeer de nieuwste versies om te voorkomen dat je site opnieuw wordt gehackt. Verwijder ook niet-gebruikte plugins, thema’s en CMS systemen. Kijk ook graag voor meer informatie bij de artikelen:

Als je niet goed weet hoe je dit moet aanpakken, is het verstandig hier een partij in te betrekken die er verstand van heeft. Op onze partnerpagina vind je partners die gespecialiseerd zijn in security en je hier mee kunnen helpen.

Veelgestelde vragen

Lost NeoPI de hack in mijn site op?

Nee, NeoPI kan niet de hack in je site oplossen. De tool helpt je mogelijk verdachte bestanden te identificeren, waarna je zelf de daadwerkelijke controle moet doen. Het oplossen van de mogelijke hack in je site is weer een andere stap. Controleer je CMS en alle plugins en installeer de nieuwste versies om te voorkomen dat je site opnieuw wordt gehackt. Verwijder ook niet-gebruikte plugins, thema’s en CMS systemen. Kijk ook voor meer informatie in het artikel: Herstel Website Na Hack.

Hoe ziet een fout bestand eruit?

Gevaarlijke code komt in verschillende soorten voor. Soms is het snel duidelijk omdat er onleesbare stukken tekst in voorkomen (zoals getoond voorbeeld hieronder). Maar het kan ook voorkomen dat er op het eerste gezicht niets aan de hand lijkt te zijn en de malware echt in de code verstopt zit.

Een voorbeeld van malafide code;
<?phpeval(base64_decode(“IyBBIGJhc2ljIGV4YW1wbGUgb2YgYmFzZTY0X2VuY29kZWQgdGV4dCBhbmQgd2h
5IG5vdCB0byBleGVjdXRlIGl0IHdpdGhvdXQgbG9va2luZyBhdCB0aGUgc291cmNlIGZpcnN0Lg0KaGVhZGVyK
CAnTG9jYXRpb246IGh0dHBzOi8vd3d3LnlvdXR1YmUuY29tL3dhdGNoP3Y9ZFF3NHc5V2dYY1EnICk7”));

Ik heb alle bestanden nagekeken en ik vertrouw ze, maar NeoPI blijft ze tonen als ik de scan opnieuw doe, hoe kan dit?

NeoPI toont de bestanden die op alle tests als meest verdacht uit de bus komen. Omdat er altijd 10 bestanden worden getoond, blijf je de bestanden zien als er geen wijzigingen zijn geweest. Je kunt er vrij zeker van zijn dat er geen onveilige bestanden op je webruimte aanwezig zijn als je deze al hebt gecontroleerd. 100% zekerheid kan de scan je niet geven, hiervoor zou je alle bestanden na moeten lopen.

Hoeveel keer kan ik per dag scannen?

Er zit geen limiet op het aantal scans wat je uit kan voeren. Op het moment dat je een scan aanvraagt wordt hij direct op de server uitgevoerd.

Ik maak gebruik van Magento hosting. Kan ik ook gebruik maken van NeoPI?

Nee, dit kan alleen met het Secure, Optimize, Performance of MCU pakket.

Kan ik scans inplannen of moet dit altijd handmatig?

NeoPI scans lenen zich niet goed voor een periodieke scan. Omdat je altijd een lijst van 10 (en een aantal andere lijsten) bestanden ontvangt, zou je mailbox in no-time vol raken. De NeoPI scan is handig om de site te “skimmen” als je vermoedt dat hij gehackt is, en daarom geschikter om handmatig uit te voeren.

Wat is het verschil tussen NeoPI en Sucuri?

NeoPI is een script dat de inhoud van de bestanden op de webserver controleert, deze kijkt dus heel inhoudelijk naar je code. Met Sucuri kun je controleren of je site ergens geblacklist is, en of je homepage naar geblackliste sites linkt en of er malware aanwezig is.

1