Bijna een maand geleden is er een hostingaccount. mijn grootste account, gehackt. Onder dit account vallen veel van mijn eigen websites, websites om verschillende extensies te testen c.q. (on)mogelijkheden te onderzoeken maar ook websites van klanten die op een afgeschermd deel van de server in ontwikkeling zijn.
Wat vooraf ging
In april 2013 werd mijn hostingaccount succesvol getroffen door een aanval van hackers die kwaadwillende software (malware) op de websites van dit account hebben geplaatst. De hostingprovider, een andere dan waar ik nu mijn websites heb ondergebracht, signaleerde dit – pas – een week of 3 later. Zelf had ik nog geen verdachte activiteiten opgemerkt.
Bij de hostingprovider heb ik toen navraag gedaan hoe één en ander in zijn werk gaat :
“De reden dat de hack soms pas later ontdekt wordt, komt omdat sommige scripts pas later actief worden. Hackers gaan op zoek naar makkelijk te hacken sites. Deze sites worden vervolgens gehackt en scripts geplaatst. Vervolgens gaat men naar een aantal fora en biedt deze sites te koop aan aan spammers. De spammers gebruiken de scripts vervolgens om hun spam te versturen. Op het moment dat de scripts worden aangesproken, gaan bij de hostingprovider de alarmbellen rinkelen, volgt er een controle, wordt de site tijdelijk geblokkeerd en de klant gewaarschuwd.”
Na heel veel zoekwerk bleek er in een test-omgeving een verouderde – en vergeten uit te schakelen – extensie te staan waardoor de hackers zijn binnengekomen.
Updaten CMS
Dat was een harde les, maar volledig eigen schuld dus wonden likken en weer door. Dit zou mij niet meer overkomen. Dacht ik. En bij klanten ook niet. Dacht ik.
Vanaf dat moment zat ik er bovenop wanneer er een update uitkwam. Kleine bug-reparaties zijn niet zo spannend en werden gebundeld tot er een veiligheidsupdate uitgebracht werd. Dan was het aanpoten om iedereen (klant, test-omgeving, eigen websites) weer up to date te krijgen.
Dat is bijna 7 jaar goed gegaan. Tot een maand geleden.
Hoe dan?
Op mijn verjaardag is, zonder dat ik er ook maar iets van gemerkt heb, rond 17:00 uur mijn account gehackt.
Drie dagen later open ik mijn persoonlijke startpagina. Tenminste, ik doe een poging daartoe maar zie geen website. Wel een vreemde, geen php-gerelateerde foutmelding en ik weet dat het foute boel is. Met een klein schietgebedje hoop ik dat de ellende te overzien is maar dat bleek ijdele hoop.
Een olievlek was er niets bij. Geïnfecteerde bestanden hadden zich overal genesteld. In de mappen van de website, maar ook in de systeemmappen van de server. Intens boos en verdrietig is nog maar een summiere omschrijving van hoe ik me toen voelde. En overigens nu nog steeds voel wanneer ik hieraan terug denk ...
De oplossing
Er zat niets anders op dan alle website bestanden zonder pardon van de server te verwijderen. En alle systeemmappen te controleren op ongewenste vreemdelingen en deze handmatig vaarwel te zeggen. Je hoort me zuchten? En steunen? En inwendig vloeken?
Daarna heb ik van alle websites een schone back up terug geplaatst, alle wachtwoorden vervangen en een extra check gedaan of er geen updates meer waren. Lees: héél véél uren werk en je denkt dan klaar te zijn. Denkt hè.
Google Search Console
Niets is minder waar.
De websites waren allemaal aangemeld bij Google Search Console en alle websites, ik herhaal alle, zijn gecrawld tijdens de hack. Meerder keren per dag word ik door Google om de oren geslagen met foutmeldingen. En of ik ze maar even op wil lossen. Hele diepe zucht …
Voorkomen is beter dan …
Iedereen kent het spreekwoord: voorkomen is beter dan genezen. En ja, dat is hier ook zo.
In 2013 was het toch eigen schuld door het niet verwijderen van een verouderde, niet meer gebruikte extensie. Dit keer weet ik 100% zeker dat alles, maar dan ook écht alles van CMS tot extensies up to date waren. En dan nóg word je gehackt. Dat doet pijn en ik heb geen flauw benul hoe ik dat kan voorkomen.
Sorry, ik moe(s)t de frustratie even van me afschrijven ;)
Is jouw website wel eens gehackt? En zo ja, weet je waarom en hoe heb je het opgelost?