Een gehackte website herstellen


Tags: abusebeveiliginghackSecurity

Let op! Deze informatie is bedoeld voor de meer technisch gevorderde lezer. Byte kan hierbij geen technische support leveren. Ben je zelf niet zo technisch? Neem dan contact op met één van onze partners, te vinden op onze Partnerpagina.

Is je website gehackt? In de meeste gevallen komt het door een lekke plugin of verouderde versie van het CMS. In dit artikel leggen we uit hoe je een site na een hack weer op de rails krijgt. Let op! De enige hack die hiermee niet verholpen wordt is wanneer iemand toegang heeft tot het e-mailadres van de Technisch Beheerder.

Wanneer je website vanwege een hack is uitgeschakeld, plaatsen wij een landingspagina om bezoekers op te vangen. Op de pagina Toegang en Onderhoud Website tijdens Hack-uitschakeling vind je informatie over hoe deze pagina werkt en hoe je zelf toegang krijgt tot de website.

Doorloop onderstaande punten om je site goed op te schonen;

  1. Volg de stappen in dit artikel – De hacker buiten sluiten, zodat je de enige bent die aan het herstel van de site werkt
  2. Schadelijke Bestanden Opsporen – Kijken wat er is aangepast zodat gericht naar een lek gezocht kan worden
  3. Lek dichten, updates uitvoeren

Voordat je begint

Je website is gehackt en dat is vervelend, want de site is niet meer bereikbaar voor klanten en bezoekers. Het liefst wil je je website natuurlijk zo snel mogelijk weer online!

Het eerste advies wat we geven is: geef jezelf de tijd om de site op de rails te krijgen. Natuurlijk komt het voor dat de oorzaak van een hack snel achterhaald is. Het is echter lastig helemaal zeker te zijn dat:

  • dit het enige lek is;
  • er geen backdoors geplaatst zijn waardoor hackers alsnog toegang hebben tot je site.

Neem daarom genoeg tijd om dit voorval goed te herstellen en je in ieder geval even veilig bent. Let op: het verwijderen van gehackte bestanden is niet voldoende. Door ervoor te zorgen dat ze niet geplaatst kunnen worden, los je de hack echt op.

Voorwerk

Het voorwerk is erg belangrijk, hiermee zorg je dat je zeker bent dat je de enige bent die bij de bestanden kan op het moment dat je aan het echte opschonen begint. Zonder voorwerk kon je wel eens dweilen met de kraan open en dat is natuurlijk zonde!

Eigen computer

Het komt voor dat wachtwoorden met behulp van virussen of keyloggers op de computer achterhaald worden. Scan daarom je eigen pc eerst op virussen. Gebruik hiervoor je huidige virusscanner (mits up-to-date), zoals ClamAV of Windows Defender.

Let op! Alle gebruikers die verbinding maken met onze server (door middel van losse FTP gebruikers of beheerderaccounts) moeten hun computer op virussen scannen.

Password Technisch Beheerder/Contractant

Met het wachtwoord van de Technisch Beheerder heb je toegang tot het Service Panel, SSH en de FTP server, kortom het volledige beheer kan overgenomen worden.

Actie:
  1. Wachtwoord Service Panel aanpassen
    • Klik bij het Byte aanmeldvenster op “wachtwoord vergeten” om een verzoek voor een nieuw wachtwoord naar het e-mailadres van het account te sturen.

Losse FTP user account

Voorzie alle losse FTP gebruikers van een nieuw wachtwoord.

Actie:
  1. Wachtwoorden FTP users aanpassen
    • Ga in het Byte Service Panel naar Instellingen > FTP-gebruikers, klik op het “wijzig” icoon, rechts van het pad en links van het rode kruisje, haal vervolgens het vinkje weg bij “Ik wil het wachtwoord behouden”, kies een nieuw wachtwoord en klik op “Stuur op”.

SQL User

Als de inloggegevens voor een MySQL database ontfutseld wordt, betekent dat dat iemand de inhoud (content) van je site kan aanpassen en toegang heeft tot bijvoorbeeld je klantenbestand. We raden je aan om na een hack het database wachtwoord aan te passen voor de gebruikers die toegang hebben tot de database die bij de site hoort.

Actie:
  1. Database wachtwoord aanpassen
    • Ga via het Byte Service Panel naar Instellingen > MySQL 5 Databases en selecteer onder gebruikersbeheer de juiste gebruiker in het dropdown menu naast “Wijzig het wachtwoord voor gebruiker”. Vergeet niet dat je naast deze wijziging ook het wachtwoord in het Database Configuratie Bestand van de site aan moet passen, anders werkt de site niet meer.

Opschonen

Nu je de enige bent die bij de bestanden kan, is het belangrijk alle bestanden goed onder de loep te nemen. Iedereen heeft alles aan kunnen passen en daarom moeten alle bestanden nagelopen worden. Heel belangrijk is om (voordat je met updaten en opschonen aan de slag gaat) na te gaan hóe de site gehackt kon worden en dit lek op te lossen. Een praktische scan vind je in onze handleiding Schadelijke Bestanden Opsporen. Hier lees je ook hoe de tool NeoPI je het werk makkelijker kan maken.

Google indexering

Controleer of Google je website als onveilig heeft geindexeerd (ga naar google.nl, zoek op je domeinnaam en klik door). Als Google je site als onveilig aantoont, bekijk dan in de Google webmaster tools wat de reden is en los dit op.

Let op! Vergeet niet een verzoek bij Google in te dienen om weer als veilig te worden gezien.

CMS/Site/Plugins

Een site wordt meestal gehackt op basis van een kwetsbaarheid in een CMS (Joomla!, Magento, WordPress etcetera) of een van de gebruikte plugins. Het is dus aan te raden om altijd even te kijken of je de laatste versie van het CMS in gebruik hebt en of er exploits bekend zijn voor de gebruikte plugins. Hiervoor kun je de tool Sucuri Security Scan gebruiken. Deze tool geeft aan of er verouderde componenten op je site aanwezig zijn. Kijk voor meer informatie in het artikel Sucuri Security Scan.

Actie:
  1. File backup van voor de hack terug plaatsen. Hoe je dit doet staat in het artikel Alles Over Back-ups.
    • Let op! Verwijder alle bestanden alvorens de backup terug te plaatsen, (nieuwe) bestanden die niet in de backup staan worden anders namelijk niet overschreven of verwijderd.
    • Als je geen schone backup hebt is het belangrijk dat de code goed doorzocht wordt op eventuele backdoors
  2. Terugplaatsen database backup van voor de hack. Hoe je dit doet staat in het artikel Alles Over Back-ups.
  3. Pas het database wachtwoord in het configuratiebestand aan
  4. Belangrijkste: Update CMS & Plugins. Het simpelweg terugplaatsen van een backup is NIET voldoende! Anders was de site niet gehackt.

Heractivatie

Het is voor ons erg belangrijk om te weten wat er aan kwetsbaarheden gevonden en verwijderd is. Deze informatie helpt ons hacks in het vervolg sneller te detecteren, eventueel andere kwetsbare sites op de hoogte te stellen en een betere inschatting te maken van de huidige beveiliging van de site.

Om de site te activeren horen we graag welke kwetsbaarheden verwijderd zijn.

Gebruik het Inschakelformulier om aan te geven welke stappen je hebt ondernomen om de veiligheidsproblemen te verhelpen. Vul het formulier zo gedetailleerd mogelijk in. Zodra we het formulier binnenkrijgen, controleren we je site zo snel mogelijk. Hoe duidelijker en uitgebreider de informatie, hoe sneller vastgesteld kan worden, of een hack is verholpen en hoe sneller je site weer aangezet kan worden.

Houd er wel rekening mee dat het even kan duren voordat je website veilig wordt bevonden. Het controleren van de website doen we uitgebreid, we willen zo zeker mogelijk zijn dat de site veilig is. We begrijpen dat je zo snel mogelijk de site online wilt hebben, maar veiligheid heeft ons hoogste prioriteit. Het kan daarom een dag duren voordat we de site weer kunnen inschakelen.

Let op: het verwijderen van de gehackte bestanden is slechts symptoombestrijding. Het dichten van het lek, hoe de hacker de bestanden heeft kunnen plaatsen, is het daadwerkelijk oplossen van de hack. Bij herhaling van een hack, wanneer het lek dus niet is gedicht, zijn wij genoodzaakt om 150,- euro aan kosten in rekening te brengen wegens nalatigheid.

Site inschakelen buiten kantoortijden?

Heb je een SLA of SLA plus bij je hostingpakket? Dan kun je ook buiten onze openingstijden een techneut vragen om je site te controleren met onze dienst: 24/7 site online zetten. Binnen een uur zal je verzoek in behandeling worden genomen conform de SLA afspraken. We kunnen echter niet garanderen dat we je site ook weer aanzetten, dat is afhankelijk van of je het probleem daadwerkelijk verholpen hebt. Voor het gebruik van deze dienst worden extra kosten in rekening gebracht.

Doorloop de volgende stappen:

  1. Vul eerst het Inschakelformulier in (je hebt het ticketnummer van de ontvangstbevestiging nodig)
  2. Ga naar Bytenoodhulpdienst.nl
  3. Selecteer het domein
  4. Kies voor de dienst: 24/7 site online zetten
  5. Vul alle vragen in en vermeld het ticketnummer

Let op: mocht het probleem niet verholpen zijn, dan kan de techneut je site niet aanzetten. Je kunt slechts eenmalig gebruik maken van deze service. Dit om te voorkomen dat onze techneuten na elke handeling die je gedaan hebt, opnieuw wakker gemaakt worden. Zorg er dus voor dat je het inschakelformulier zo gedetailleerd mogelijk invult en dat je alle mogelijke maatregelen hebt genomen om je site weer veilig te krijgen en te houden.

Hulp nodig?

Byte kan helaas geen support leveren op gehackte sites. Herstellen van websites is een heel ander specialisme dan webhosting. Mocht je er niet uit komen dan raden we je aan een partner van Byte in de arm te nemen.

Meer informatie

0