De afgelopen weken hebben we meerdere sites voorbij zien komen, waarbij duizenden berichten met spam content waren geïmporteerd op websites. Vaak zagen we hierbij ook dat er onbekende beheerder accounts waren aangemaakt.
Herinfectie
Bij één van die reeds opgeschoonde sites was al vrij snel sprake van een herinfectie, maar omdat de site nu wel beveiligd is en regelmatig gescand wordt, werd duidelijk dat deze nieuwe onbekende accounts waren aangemaakt. Ook bleken er net zo veel spam reacties te zijn geplaatst. Dat deed me gelukkig meteen denken aan een achterdeurtje dat ik al eens vaker was tegengekomen.
Database trigger
In de database was ooit (vermoedelijk bij een eerdere hack) een trigger aangemaakt. Dat is een soort ALS…DAN constructie. Deze blijkt in dit geval de tabel wp_comments
in de gaten te houden en zodra daar een record aan wordt toegevoegd (omdat er een reactie wordt geplaatst op de site), dan maakt de trigger een record aan in de wp_users
tabel en 2 in wp_usermeta
, waarmee een nieuwe gebruiker met de rol Beheerder is ontstaan.
Hier zie je hoe dit werkt:
De trigger verwijderen
Uiteraard wil je deze trigger direct verwijderen en dat is gelukkig vrij eenvoudig via phpMyAdmin. Selecteer daar de betreffende database en ga vervolgens naar het tabblad Triggers, waar je deze kunt verwijderen.
Verdere opschoning van de site
Natuurlijk is hiermee de hack niet opgeruimd en het is altijd het beste om daar iemand naar te laten kijken met voldoende ervaring. De eerste acties die je wel alvast zelf kunt nakijken:
- Kijk via je WordPress dashboard bij Gebruikers of daar onbekende beheerders staan. Die kun je dan verwijderen.
- Kijk in je dashboard bij Reacties of daar spam staat en ruim die op.
- Kijk in dit geval ook even bij Berichten of daar niet heel veel onbekende berichten staan, want dan is de site flink vervuild en moet er grondig worden opgeschoond. Als je daar zelf niemand voor hebt, neem dan even contact met me op op je gehackte site te laten opschonen.