Nieuws
image

Gehackte websites sturen bezoekers door naar pornosites

dinsdag 27 mei 2014, 11:23 door Redactie, 6 reacties

Een groot aantal gehackte Joomla- en WordPress-websites heeft de afgelopen week mobiele bezoekers naar pornosites doorgestuurd. Op de gehackte sites werd een redirect geplaatst die alleen werkte als de website in kwestie vanaf een smartphone of tablet werd bezocht, zo laat beveiligingsbedrijf Sucuri weten.

Om te voorkomen dat de aanpassing aan de gehackte website wordt opgemerkt, stuurt de redirect gebruikers maar één keer door. Dit wordt gedaan door het IP-adres van doorgestuurde bezoekers op te slaan. Zodra de gehackte website vanaf een mobiel apparaat voor een tweede keer wordt bezocht, verschijnt de werkelijke inhoud van de pagina.

"Dit maakt de kwaadaardige code lastig te detecteren en zorgt ervoor dat mensen denken dat het een willekeurige fout was of dat ze misschien de URL verkeerd hebben getypt", zegt onderzoeker Daniel Cid. Hij merkt op dat de aanvallers voor elke doorgestuurde gebruiker betaald krijgen.

Beheerders van Joomla- en WordPress-websites zouden de aanpassingen in de bestanden index.php, wp-config.php, configuration.php en functions.php kunnen opmerken, aangezien de kwaadaardige code aan deze bestanden wordt toegevoegd.

Reacties (6)
27-05-2014, 12:25 door Anoniem
Kun je in ieder geval jezelf verdedigen met "ik doe het niet, het is een hacker", wanneer je ega je betrapt met porno kijken.
27-05-2014, 14:07 door Anoniem
Je moet als beheerder/hoster van PHP sites altijd meerdere AV scanners gebruiken. Spammers en malware verspreiders hacken op grote schaal web sites. Duizenden per dag is geen zeldzaamheid. Daar zitten ook Nederlandse sites bij.

Een tip voor beheerders om snel te ontdekken of er iets aan de hand is: zoek naar recente bestanden. In veel gevallen zijn recente bestanden malware of aanpassingen van bestaande bestanden door malware (infectie). Alle PHP bestanden kunnen worden geinfecteerd. Malware schrijvers maken soms weinig onderscheid. Soms zijn alleen index bestanden aangepast.

Aanvallers maken vaak gebruik van een van de volgende methoden om zich toegang te verschaffen tot een web server:
- beveiligingslek in PHP of PHP apps
- gestolen ftp gebruiker/wachtwoord vanaf desktops

De oorzaak is in de meeste gevallen gebrek aan onderhoud (niet installeren security patches, draaien van EOL software) op de server en klikgraag gedrag op de desktop.

Plaats geen backups in publiek toegankelijk directories. Daardoor kunnen hackers makkelijk bij oude versies.

Na infectie is het volledig opnieuw installeren vaak de beste optie. Aanvallers kunnen accounts aanmaken of wachtwoorden aanpassen. Veel hosters installeren opnieuw, dat is best practice.
27-05-2014, 16:12 door Anoniem
Volgens mij bedoel je vooral opensource frameworks/cms/forum systemen. Zoals Joomla, Phpbb, Wordpress maar ook tracking en/of database beheer systemen zoals Piwik en Phpmyadmin, omdat hiervan exploits en vulnerabilities bekend worden gemaakt via (publieke) kanalen. Zelf geschreven PHP code is een stuk veiliger omdat de source hiervan niet bekend is (mits je zelf voldoende kennis in huis hebt mbt het beveiligen tegen xss injection enz) en je server wel uptodate blijft qua security updates.
27-05-2014, 16:51 door Anoniem
Eén van mijn WP-based websites is getroffen door deze malware en ik kan aangeven dat de infectie niet via FTP loopt; ik maak FTP toegang aan als ik die nodig heb en verwijder deze wanneer ik klaar ben. Het systeem zelf en de gebruikte theme en plugins worden up-to-date gehouden incl security patches.
De 'boefjes' hebben blijkbaar toch via WP zelf toegang gekregen, dus ik denk dat er binnenkort weer een update van WP komt.
27-05-2014, 17:39 door Anoniem
Wat een hoop gooi- en smijtwerk met zo inhoudsloos-mogelijk gebruikte termen.
16-02-2015, 11:32 door sreijnho
Een van mijn wordpress websites is dus ook geinfecteerd. En ik heb geen idee hoe ik hiervan af kan komen. Wat zijn de dingen die ik kan doen?

Bovendien is het niet zo dat het linken naar pornosites na één keer ophoudt. Dit gebeurd gewoon iedere keer. De werkelijke inhoud wordt niet meer getoond.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search