Hoe kom je erachter of je website gehackt is?

Laatste aanpassing: 3 maanden geleden

Het eerste wat je kunt doen is kijken naar de bestanden en de code van je website. Je moet kijken of je hier iets bijzonders aan ziet en of er problemen mee zijn. Er zijn drie belangrijke bestanden waar je naar moet kijken:

  • .htaccess bestanden
  • .php bestanden
  • Mediabestanden

Hackers kunnen namelijk linkjes maken naar schadelijke websites. Hackers gebruiken vaak bij .php bestanden, base64 encoding om links, malware en dat soort dingen te vermommen tot een onschuldige code. Een zoekopdracht naar “base64” is een goede manier om deze te vinden.

Waar kun je nog meer naar kijken?

Een andere manier om erachter te komen of je website gehackt is, is door gebruik te maken van beveiligingshulpmiddelen. Dit is vooral handig als je niet gewend bent om je eigen code en bestanden te beoordelen.

Een van de dingen die je kunt gebruiken is Google’s safe browsing checker. Deze scant de gehele site en geeft je gedetailleerde informatie over verdachte activiteiten die met je website te maken hebben. Ook krijg je informatie of je website is besmet met malware. Dit alles kost een paar seconden en is geheel gratis. Typ het volgende in je browser en vervang “yourdomain.com” met jouw eigen domein:

          http://www.google.com/safebrowsing/diagnostic?site=yourdomain.com

Een ander hulpmiddel dat je kunt gebruiken is Google Webmaster Tool. Stel deze in voor je website en ga vervolgens naar de “Malware” categorie om te kijken of er malware aanwezig is op jouw website.

Securi SiteCheck is een online service die problemen op jouw website identificeert. Deze scanner kijkt naar:

    • Virussen (inclusief verankerde Trojaanse paarden)
    • Redirects
    • SPAM en referenties naar website die aanwezig zijn op de blacklist
    • Malware
      • Verdoezelde JavaScipt injecties
      • Verborgen & schadelijke iFrames
      • Phishing pogingen
      • Cross Site Scripting (XSS)
      • Schadelijke Redirects
      • Backdoors (e.g., C99, R57, Webshells)
      • Beschadigingen
      • Onregelmatigheden
      • SQL injecties
      • IP Cloaking
      • Social Engineering pogingen
      • Drive-by-Downloads

    Een scan speciaal voor een bepaald platform is handig als jouw website een ingebouwd Content Manager System (CMS) gebruikt zoals WordPress en Joomla! Tools die je hiervoor kunt gebruiken zijn Theme Authenticity Checker (TAC), Better WP Security Wordfence, en Exploit Scanner plug-ins voor WordPress. Deze gaandoor je gehele website en pikken hier de verdachte codes en linkjes uit. Joomla! Gebruikers kunnen gebruik maken van tools als Jamms.php, een plug-in script die Joomla! Websites scant en potentiële problemen identificeert

    Google Chrome (of een andere website) geeft een melding dat je bent gehackt. Als je een van de volgende meldingen krijgt, dan is je site waarschijnlijk gehackt. 

    De zoekresultaten van Google geven aan dat je site gehackt/schadelijk is.

    The site may be hacked” betekent dat Google iets ongewoons heeft ontdekt op jouw website zoals ongebruikelijke veranderingen naar bestaande pagina’s of nieuwe pagina’s die worden toegevoegd met SEO spam en redirects.

    “The site may harm your computer” houd in dat Google malware heeft ontdekt op jouw website. Als je je website bezoekt is het op eigen risico en krijg je nogmaals een waarschuwing van Google dat de website op dat moment onveilig is.

      Jouw malware scanner geeft aan dat je website geïnfecteerd of gehackt is. Meestal krijg je deze waarschuwing via je e-mail. Houd deze dus regelmatig in de gaten. 

      Een klant contacteert jou omdat je site gehackt is. Vertel deze klant dat je onmiddellijk actie zal ondernemen. Misschien is het zelfs verstandig om je website offline te zetten.

      Gebruik controle services die veranderingen in je website en verkeer op je website in de gaten houden. Een service die je hiervoor kunt gebruiken is WebsitePule en Pingdom. Ook moet je kijken naar pieken in je websiteverkeer. Dit kan namelijk betekenen dat je website onderdeel is van een spam campagne. Doe daarom ook onmiddellijke een source code scan als je een piek ziet in je website verkeer.

      Maak gebruik van een remote scanner. Remote scanners kijken naar de gerendeerde versie van je website (de HTML code). Hierdoor kom je erachter of de hacker ervoor heeft gekozen om malware in je HTML code te stoppen. Als hackers ervoor kiezen om malware in je code te verstoppen die alleen bepaalde gebruikers zien op basis van bepaalde criteria, dan bestaat de kans dat de remote scanner deze malware niet herkent, omdat hij simpel weg op het moment van scannen niet actief is. Desalniettemin is een remote scanner een handige tool die infecties kan ontdekken.


    Hier zijn een paar file viewing tools en remote scanners die je kunnen helpen een infectie te detecteren: 

    • Virustotal heeft een URL-scanner die je website laat reageren op een groot aantal virus databases en kijkt of je website een van deze triggert.
    • SpamHaus checkt je IP-adres op verschillende SpamHaus lijsten. Als je website wordt gedetecteerd, betekent het dat jouw site betrokken is bij spam e-mails en het hosten van malware, wat betekent dat je site gehackt is.
    • Urlquery.net maakt nuttige analyses over hoe jouw website reageert op de Snort en Suricata intrusie detectiesysteem, waarmee bestanden worden opgenomen, kijkt of jouw website op de blacklist is en kijkt wat de respons is op http-transacties. 
    • Aw-snap.info is een tool die bestanden bekijkt en hier de script tags, iframes en andere code injecties uitpikt. Het laat je je http-headers zien om te kijken of hier schadelijke code of redirects in zitten. Ook zorgt het ervoor dat je verborgen injecties ziet die je alleen ziet bij bepaalde user agents of search bots. 

    Het schoonmaken van een gehackte site. 

    Voordat je iets verwijdert moet je een volledige back-up van je website maken. Wanneer je de verdachte codes en linkjes op je website hebt gevonden, dan kun je ze het best schoonmaken door de beïnvloede bestanden te downloaden d.m.v. je ftp-applicatie.

    Verwijder en pas het nodige aan en upload het bestand opnieuw, hiermee vervang je het geïnfecteerde bestand met een schone. Als je dit heb gedaan scan je je gehele site nog een keer voor de zekerheid. 

    Als je dit hebt gedaan, verander dan al je wachtwoorden, ook je WordPress wachtwoorden en ook de wachtwoorden van je admin accounts, je FTP, het Hosting Control Panel en SSH-accounts. Dit maakt je site nog veiliger en voorkomt dat hackers je oude wachtwoorden      
    uitbuiten.

    Sommige malware kan een planner installeren op je server. Als je dan een nieuwe taak toevoegt aan je Cron Jobs (of een soortgelijke planning) dan beïnvloed je je opgeschoonde applicaties opnieuw, tenzij je je Cron job verwijderd. Als je server zulke planners gebruikt,  verwijder dan verdachte taken (meestal gaat dit via het hosting control panel, cPanel e.d.)

     

    Hoe bescherm je je website tegen toekomstige hacks?

    Controleer je website regelmatig. Als je hosting provider een controleerservice aanbiedt, maak hier dan gebruik van of gebruik Google Analytics.

    Als je iets vindt wat niet gebruikelijk is, dan is het een goed idee om je websitebestanden te onderzoeken op problemen.

    Wees proactief m.b.t. je beveiliging. Maak gebruik van een sterke wachtwoord generator en verander je wachtwoord regelmatig en verwijder alle onnodige content van je website. Als je bezoekers geen toegang nodig hebben om bijv. iets te uploaden, blockeer deze functies dan ook op jouw website. Bescherm ook gevoelige bestanden met een wachtwoord.

    Als je een CMS gebruikt om je website te maken en onderhouden, maak dan alleen gebruik van thema’s en plug-ins van betrouwbare websites. Verwijder thema’s en plug-ins die je niet gebruikt. Zorg er ook voor dat de kerninstallatie van je website up-to-date is, aangezien verouderde software een ingang is voor hackers bij CMS-gegenereerde sites.

    Als u twijfelt over of uw website is gehackt, neem dan toch zo snel mogelijk contact met ons op. Wij kunnen dit voor u uitzoeken.