Spam verstuurd via eigen website/domein: hoe aanpakken ?

[mikekiwi]

Sinds enkele weken worden er elke dag honderden mails verstuurd vanaf mijn website. In willekeurige mappen worden php-bestanden geplaatst en die zorgen voor al die mails (als ik de DirectAdmin-meldingen vanuit de provider mag geloven).
Helaas is hierdoor mijn uitgaand mailverkeer al een keer platgelegd door de provider (terecht), maar ik krijg het maar niet onder controle.

Het gaat om een Wordpress-website. Ik heb Wordpress na het ontdekken van de ellende helemaal up-to-date gebracht, dat geldt ook voor de plugins.

Qua rechten:
- Mappen allemaal op 755
- bestanden op 644

Hoe pak ik dit nu het beste aan? Hoe kom ik achter de origine van het plaatsen van dit soort troep? Alle plugins uitzetten op de website en 1 voor 1 weer aanzetten is een optie, maar dan ben ik twee weken verder voordat ik het te pakken kan hebben.
Wachtwoord voor FTP is uiteraard gewijzigd inmiddels, maar toch blijft het doorgaan.

[disinfector]

gebruik je "exotische" plugins / templates ? kan goed zijn dat een van die lek is. Ik heb dit een keer gehad met een template. Wordpress is zo populair dat het helaas een gewild doelwit is voor dit soort zaken.

[mikekiwi]

gebruik je "exotische" plugins / templates ? kan goed zijn dat een van die lek is. Ik heb dit een keer gehad met een template. Wordpress is zo populair dat het helaas een gewild doelwit is voor dit soort zaken.

Dit zijn de Plugins die ik heb draaien:

Akismet
Captcha
Easy iFrame Loader
Facebook Button
Faster Image Insert
Get The Image
Google Analyticator
iThemes Security
Online Backup for WordPress
Revolution Slider
Smart Youtube PRO
U-Design Shortcode Insert Button
Wordfence Security
WP-PageNavi


Template  is een Premium Template via Themeforest gekocht: U-Desgn

Volgens mij valt het wel mee met de exoticiteit (?) van het geheel. In de log van iThemes security zie ik wel continu mislukte inlogpogingen, "Host or User Lockouts". De site staat duidelijk in de belangstelling...

[disinfector]

Ik zie op de volgende link dat je template samen met de slider plugin kwetsbaar waren.http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html Als ik het goed begrijp zou het met de nieuwe updates opgelost zijn.
Hoelang was het geleden dat je de updates had gedraaid? Anders zou het hier dus mee te maken kunnen hebben.

[mikekiwi]

Ik zie op de volgende link dat je template samen met de slider plugin kwetsbaar waren.http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html Als ik het goed begrijp zou het met de nieuwe updates opgelost zijn.
Hoelang was het geleden dat je de updates had gedraaid? Anders zou het hier dus mee te maken kunnen hebben.

Interessant... updates zijn op 4 december gedaan, ook daarna nog spam-ellende. Heb deze en nog een paar anderen die ik nu even niet gebruik nu wel verwijderd, just in case.
Zit verder te denken wat ik nog kan doen. DB-wachtwoord aanpassen en eventueel de bestanden en mappen in een subfolder zetten...(en dus een minder standaard situatie creëren)

[i2Paq]

Kan maar zo zijn dat een lek in één van je plug-ins "gewoon" toegang geeft tot je mappen.
Dan helpt het aanpassen van wachtwoorden niet.

Dat was op mijn VPS het geval.

Om de haverklap werd mijn VPS door de hoster uitgezet en ik heb tenslotte hun hulp ingeroepen om te achterhalen waar het lek zat.

[dennism]

afhankelijk van hoe diep de besmetting is en hoe goed alle software up-to-date gehouden zijn (wordpress, plugins, directadmin maar ook PHP/MySQL/Apache en mogelijk zelfs het OS) zijn er een aantal opties. De meest gunstige optie is dat na het updaten van alle plugins  en wordpress en het verwijderen van alle toegevoegde PHP bestanden en het wijzigen van de wachtwoorden alles weer ok is. Loop ook per plugin na of er vunerabilities zijn, en wanneer deze niet opgelost zijn, verwijder dan altijd deze plugin (of wanneer dit echt niet mogelijk is, firewall de exploit met custom firewall regels).

Ik heb in het verleden echter ook zaken gezien waarbij bovenstaande het probleem niet oploste omdat er te diep binnen gedrongen was in het systeem. En van de zaken die je dan zeker moet overwegen is om de huidige server volledig te nuken, opnieuw in te richten met de laatste veilige versie's van alle software en dan een backup terug te zetten uit een periode dat het systeem gegarandeerd schoon was. Zeer ingrijpend, maar soms de enige optie, zo had wordpress concurrent drupal laatst ook een veiligheidslek waarbij alle servers die niet up-to-date gehouden waren sinds een bepaalde datum als "verloren" beschouwd moesten worden omdat het lek zo diep zat dat het niet gegarandeerd op te lossen was.

Tevens is het altijd zaak bij soort servers een goede firewall te hebben (vaak een extra optie van de hoster) die filtert en blokkeert op bepaald gedrag qua exploiting van servers. Daarnaast is het zaak om ten alle tijde de systemen volledig up-to-date te houden (wordpress en concurrenten, plugins voor deze software en o.a. PHP zijn een populair doelwit vanwege het feit dat er vaak lekker ontdekt worden, en beheerder helaas vaak laks zijn met het updaten en bijhouden van de machines, waardoor misbruik vaak succesvol is. Dit ook omdat websites vaak aanpassingen verlangen bij nieuwe versie's van de software of plugins, en mensen vaak liever met oude software doordraaien omdat onderhoud aan de website dan niet nodig is, of minder vaak nodig is, of omdat een "noodzakelijke" plugin niet werkt onder een nieuwe versie omdat deze niet meer onderhouden wordt wordt, wat natuurlijk qua security een zeer nadelig kan zijn.

[mikekiwi]

Kan maar zo zijn dat een lek in één van je plug-ins "gewoon" toegang geeft tot je mappen.
Dan helpt het aanpassen van wachtwoorden niet.

Dat was op mijn VPS het geval.

Om de haverklap werd mijn VPS door de hoster uitgezet en ik heb tenslotte hun hulp ingeroepen om te achterhalen waar het lek zat.

Zou idd kunnen, maar vind het maar eens...


@dennism: dank voor je uitgebreide en niet vrolijk-makende reactie. Ik heb al diverse keren  php-bestanden verwijderd (ook na update), maar toch werden er weer geplaatst. Ook gisteravond heb ik weer wat verwijderd nadat ik wat plugins heb uitgezet, even afwachten waar en of er nu weer wat terugkomt. Backup heb ik nog liggen dus teruggaan is zeker wel een optie.
Die Firewall-optie check ik nog even. En ja, heel eerlijk gezegd had ik al even niet geupdate (half jaartje schat ik), kan idd funest zijn...

[mikekiwi]

Ironie, niet altijd zo grappig nie...

Heb je een security plugin geinstalleerd, worden vandaaruit de spammails verstuurd, zie onder. Net de site gedelete, database weggefloepst. In het weekend eens rustig de boel weer opbouwen vanuit de backup...

[disinfector]

maar wel fijn dat je het gevonden hebt

[mikekiwi]

maar wel fijn dat je het gevonden hebt

Nee, dat is valse schijn. Zo hebik al diverse berichten gehad, met telkens het probleem op een andere plek. De ene keer staat er een nieuw php-bestand in een plugin-map zoals hier, de volgende keer weer ergens tussen de afbeeldingen, of ergens anders. Je schoont het probleem op en de dag erna doemt het weer ergens anders op...

[i2Paq]

Wat zeggen ze op het Wordpress forum over je probleem?

[mikekiwi]

Wat zeggen ze op het Wordpress forum over je probleem?

Is ook een aardige, heb ervaring dat hier net wat sneller greageerd wordt. Heb ondertussen de site gewiped en ga een backup terugzetten.
Heb daarvoor wel tips op het WP-forum gevraagd, eens zien wat dat gaat brengen...

[mrrepel]

Verander ook meteen de ftp wachtwoorden van de server, mogelijk dat ze daarlangs zijn binnengekomen.

[abbcdcg]

Het is niet alleen een kwestie van simpel wat wachtwoorden wijzigen. Ik heb het verhaal van Dennis doorgelezen, en daar zit, helaas voor je, toch een hele grote kern van waarheid in. Sterker, eigenlijk klopt het en sta ik daar helemaal achter.

Aanvulling: als ik het goed begrijp heb jij geen eigen server en/of VPS, maar heb je Wordpress op een shared hosting account draaien. Je bent dus, m.b.t. beveiligingen van OS, PHP, MySQL, FTP, enz, afhankelijk van je hoster. En daar zit veel verschil in. Roep eens een php_info op, daar haal je al veel uit.

@last, verander alle wachtwoorden, ook die voor MySQL die vaak vergeten wordt, en standaard o zo te kort is. Daarna: dweilen, schrobben, schoon maken, en vrolijk weer verder.
I.d.d. niet om vrolijk van te worden, helaas (vaak) wel een feit.....

[i2Paq]

Bij een shared server kan het lek ook in een andere site op die server zitten.

[mikekiwi]

De site draait idd op een shared server en voor zover ik kan zien heb ik geen invloed op firewalls o.i.d. . Ik heb nog een andere site daar draaien en die heeft geen problemen. Nu ik Wordpress van de probleemsite heb verwijderd zijn er geen spammails meer verzonden.

Mijn plan is idd om alle wachtwoorden (zowel site als db als FTP) te gaan veranderen en ook de db-prefix te omzeilen. Verder wp  in een niet standaard submap installeren en dan opnieuw opbouwen met de meeste recente versie van de plugins.

php-info is bijgesloten (wel wat geanonimiseerd), ik kan er niet heel veel wijs uit, misschien iemand anders wel die er zin in heeft...

[abbcdcg]

Bij een shared server kan het lek ook in een andere site op die server zitten.

Helaas, dat is niet altijd waarheid. Het gaat wel op voor slecht (lees: niet) geconfigureerde PHP versie's.

Mijn plan is idd om alle wachtwoorden (zowel site als db als FTP) te gaan veranderen en ook de db-prefix te omzeilen. Verder wp  in een niet standaard submap installeren en dan opnieuw opbouwen met de meeste recente versie van de plugins.

Goed begin. Map maakt niet zo veel uit, ik heb het in de hoofdmap (public_html) staan.

php-info is bijgesloten (wel wat geanonimiseerd), ik kan er niet heel veel wijs uit, misschien iemand anders wel die er zin in heeft...

Er zijn andere manieren van beveiligen.....