NAS gehackt?

[reindu]

Ik heb een aantal Wordpresswebsites op mijn NAS draaien. Ze zijn gehackt, op het webadres ontvang je even de eerste pagina, daarna word je doorgelinkt naar een goksite, een bitcoinsite of iets anders obscuurs. Ik dacht dat het misschien mijn oude admin inlog was en iemand achter alle gegevens was gekomen. Dus ik heb de inlog van de NAS, de inlog van Mariadb (PHPMyAdmin) en de inlog van de Wordpresssite veranderd. In Wordpress had ik ook Wordfence geinstalleerd. Maar het helpt niet, na een paar uur is het weer mis.
Er wordt in de database wat veranderd. Ik had een SQL backup van de database gemaakt, als ik die invoer, draait de site weer even, maar dan is het weer ellende.

[André PE1PQX]

Als je je backup terug zet is het eerste wat je doet de inlog credentials veranderen!!!
Wijzig zowel de user EN pass voor je admin deel, en schakel 2FA in (Yubikey? zie https://www.yubikeyshop.nl/nl/cms-blog-met-yubikey.html)
Verder de firewall van je NAS instellen op alleen landen toelaten die je 'vertrouwd' en DAARNA de rest blokkeren.

[DSGebruiker]

Is al je software UP-TO-DATE ? Mogelijks een bepaalde vulnerability waardoor iemand gewoon terug iets kan ongedaan maken...mag je zoveel je wil passwords of backups terugzetten !

[Briolet]

Voor wordpress komt er elke maand wel een melding langs over een plugin die kwaadwillenden toegang tot het onderliggende systeem geeft. link


b.v. deze melding van afgelopen week op security.nl

Ruim twintigduizend WordPress-sites zijn kwetsbaar door een lek in de plug-in PHP Everywhere waardoor aanvallers websites op afstand kunnen overnemen. PHP Everywhere is een plug-in voor WordPress-sites die het mogelijk maakt om PHP-code op onder andere pagina's, posts en de sidebar te gebruiken. De plug-in is op meer dan dertigduizend WordPress-sites geïnstalleerd.

[Babylonia]

link   Tjezus dat is me nogal een lijst van kwetsbaarheden.
        Je zou bijna denken dat Wordpress beter maar helemaal niet meer te gebruiken. Althans geen enkele plugin.
        Maar zonder plugins, heb je er dan nog wel iets aan?

[reindu]

Ik heb een site vervangen door een lege nieuwe Wordpress. Hij houdt het nu al 20 uur. Dat zou betekenen, dat het probleem al in de backup websites was geslopen en de bescherming van de NAS vermoedelijk nu OK is. Dat is heel vervelend , want dan moet ik alle websites opnieuw gaan bouwen. Is er een manier om de tekst van een site uit de database over te zetten naar een nieuwe site?

[proxydude]

Je kan toch gewoon een back-up  terug zetten. En alle plugins updaten. En dan pas openzetten  voor de buitenwereld. Je zou voor de zekerheid ook even de plugin folders kunnen hernoemen. Dan zijn ze ook niet actief. En kijken hoe het dan gaat. Dan zit het namelijk in een plugin.

[reindu]

Voor mij verrassend dat zo'n hack alleen in een plugin kan zitten. Ik heb alleen de plugins  Akismet en Wordfence geinstalleerd, verder niks, juist die omdat ik problemen had. Alles is voortdurend geupdated.

[proxydude]

Het kan van alles zijn. Zo als map rechten. Het makkelijkste is zorgen dat alles up to date is. Als dat het niet is dan is het een stuk lastiger zoeken.

[sciurius]

Er hoeft niet eens iets mis te zijn met je server.
Ik heb dit ook wel eens gehad met een site die een 3rd party script gebruikte en dát script was gehacked.

Mede om die reden ben ik altijd huiverig voor het gebruik van 3rd party code. Een site die 3rd party code gebruikt (bv. Google statistics) kan nooit garant staan voor jouw gegevens.

[stapper]

Ik bouw meestal met een CMS als Joomla. die heeft de zaken in mijn optiek beter voor elkaar dan WP.
( Vooral het gebruikersbeheer, en de plug inns)

Maar ik bouw alleen maar op de nas, zodat men indien nodig even mee kan zien.
Daarna verhuis ik het beestje zsm naar een goede host.
Die heeft de zaken heel wat beter voor elkaar, en ik wil het risico ook niet lopen dat men op 1 of andere obscure wijze bij mijn nas komt.