Jos Klever Web Support

Onderhoud en ondersteuning WordPress websites

Nieuwendaal 24
3985AD Werkhoven
+31 6 10 83 40 84
KvK: 62385968
BTW-id: NL001998334B31

Herinfectie website via cron job

door

In april 2025 werd ik gevraagd om een gehackte website op te schonen. Dat ging goed en alles was opgeruimd, maar bij na het inloggen op de site bleek deze al heel snel weer een probleem te tonen. Hierbij was 1 core bestand (wp-includes/meta.php) aangepast en de rechten ervan aangepast, zodat deze niet meer gelezen kon worden door WP.

Zoektocht

Alle bestanden waren verder schoon en ook in de database was niets te vinden. Er werd niet ingelogd op de site of het hostingaccount en in de access log was niets te zien van een hacker. Sterker nog, ik had de toegang voor iedereen dicht gezet, dus verkeer naar de site was niet eens mogelijk, behalve voor mijn eigen verbinding.

In het hostingpaneel (IONOS) had ik al gecontroleerd of er cron jobs waren opgevoerd voor deze gebruiker, maar dat was niet het geval. Na een goede nachtrust (het was inmiddels al laat in de avond) vond ik nog een optie om via SSH in te loggen op het account en toen had ik de boosdoener gelukkig snel gevonden!

Crontab

Ondanks dat het account suggereerde dat er geen cron job was voor deze gebruiker, wees het systeem toch duidelijk aan dat dit wel het geval was:

Code met output van crontab -l, het verwijderen van de job met crontab -r en de controle met crontab -lDe daadwerkelijke code is niet als tekst opgenomen vanwege beveiligingsrisico's.

Met crontab -l vraag ik de jobs op, met crontab -r maak ik de lijst leeg. Het laatste commando is ter controle.

De * * * * * zorgt er voor dat het elke minuut wordt uitgevoerd.

Wat doet de code precies?

Aangezien deze code versleuteld is heb ik met online tools dit proberen uit te zoeken. Via Mobilefish.com heb ik de code in deze functie ontsleuteld, wat resulteerde in:

Output van de gedecodeerde code uit de vorige afbeelding.

Hier zien we opnieuw een code met een functie die de code evalueert. Dit keer met iets andere versleuteling, dus daarvoor heb ik Base64 Decode and Encode gebruikt met dit resultaat:

Output van de gedecodeerde code uit de vorige afbeelding. Nu is deze beter leesbaar ook al is deze nog "serialized".

Het pad bevatte informatie van de klant, dus dat heb ik even verborgen, maar hier zien we al meer wat het doet. Deze ‘serialized content’ wordt door de eerdere functie opgeknipt en verwerkt. Het bestand wp-includes/meta.php wordt hiermee van extra code voorzien en opnieuw weggeschreven.

Eind goed al goed!

Na het verwijderen van de cron job was het probleem gelukkig verholpen en bleef de website schoon.

Laatste berichten op Facebook

Jos Klever Web Support
Jos Klever Web Supportmaandag, april 28th, 2025 at 4:40pm
UPDATE: De storing zou verholpen moeten zijn en de server is weer bereikbaar.

Op dit moment is er een stroomstoring in het datacenter waar mijn server draait. Hierdoor zijn websites en mailboxen tijdelijk niet bereikbaar. Hopelijk is het snel hersteld.
Voortgang is te volgen op
noc.serverius.net
2Bekijk op Facebook
Jos Klever Web Support
Jos Klever Web Supportvrijdag, december 27th, 2024 at 2:18pm
🌳 Het jaar is weer bijna voorbij, dus net als vorig jaar heb ik de balans even opgemaakt om te kijken hoeveel #WordPress websites ik in onderhoud heb. Per onderhouden website zal ik 1 euro en wanneer ik ze ook host zelfs 2 euro doneren voor het aanplanten van bomen.
Hiermee draag ik een steentje bij herstel van de natuur, aangezien websites immers ook energie kosten en daarmee de natuur belasten.
Aantal sites in onderhoud: 325
Aantal sites die ik daarvan ook host: 160
Totaal: 485
Voor € 5,- kan een boom geplant worden, dus daarmee kom ik op 97 bomen voor €485,-.
De helft zal in Nederland geplant worden en de andere helft bij een project in Indonesië. Meer informatie kan gevonden worden op de website.
Hierbij wens ik ook meteen iedereen een fijne jaarwisseling en het beste voor het nieuwe jaar! 🍾🥂🎉
#klimaat #natuur
joskleverwebsupport.nl
255Bekijk op Facebook
Jos Klever Web Support
Jos Klever Web Supportdinsdag, november 19th, 2024 at 11:09am
⚠️Mollie lijkt ongevraagd Klarna te hebben geactiveerd

Ik zie via collega's meldingen binnen komen, dat Mollie op webshops Klarna zou hebben geactiveerd, zonder dat eigenaars dit hebben aangevraagd. Webshops die dit betreft zouden via mail bevestiging hier van hebben gehad. Voor veel shops is dit ongewenst, aangezien Klarna ook 3% commissie rekent over de betaling.

Heb je hier ook bericht van gehad? Laat het me even weten, zodat we dit op de site kunnen uitschakelen en kunnen onderzoeken hoe dit heeft kunnen gebeuren.

Een support topic is te vinden en volgen op
Jos Klever Web Support
Unwanted automatically activation of Klarna
Unwanted automatically activation of Klarna Dave Loodts (@davelo) 34 minutes ago Hi, today we were very surprised to see that Mollie automatically activated the Klarna payment method on the majorit…
24Bekijk op Facebook

Laatste berichten op Mastodon

  1. Loading Mastodon feed...

Volg me op Mastodon voor meer berichten.

Jos reageerde snel op mijn vraag en eind van de middag was mijn website die gehackt was weer helemaal schoon! Dankjewel!

Fenneke Visscher Avatar Fenneke Visscher
20 oktober 2016