Sargasso gehackt

Foto: Sargasso achtergrond wereldbol

Sargasso is vannacht gehackt. Deze hack heeft code geïnjecteerd in het thema (design) dat we gebruiken en zorgde ervoor dat er via WordPress reclamelinks werden toegevoegd aan artikelen. Deze waren over het algemeen te herkennen aan het feit dat deze Chinese Koreaanse tekens bevatte. De toegevoegde code is gevonden en we hebben deze verwijderd. Op dit moment is nog niet helemaal duidelijk hoe dit probleem kon ontstaan, daarom is het scripts op dit moment onmogelijk gemaakt om iets te veranderen in plugins en het thema. Dit zal zo blijven tot het lek boven is.

Vooralsnog hebben we geen reden aan te nemen dat de hack derden toegang heeft gegeven tot de database, maar we zullen de gevonden code zsm analyseren en hierop terugkomen.

Excuses voor het ongemak.

UPDATE 21:57

We hebben de malware bekeken, en het gaat om een seo-hack (zie hier een ander voorbeeld). Het was een geautomatiseerde hack, waarbij bekende (of nog (semi-)onbekende) zwakheden in bijvoorbeeld plugins worden uitgebuit. Helaas is ons vooralsnog nog niet duidelijk welke plugin dit veroorzaakte. We hebben maatregelen genomen om verdere besmetting te voorkomen en houden de situatie in de gaten. We hebben nog steeds geen reden om aan te nemen dat onze gebruikerstabellen met de versleutelde wachtwoorden in handen zijn gevallen van derden.

0

Reacties (7)

#1 beugwant

Voor wat het waard is: ik kreeg Koreaans schrift gepresenteerd.

  • Volgende discussie
#2 Joost

Mijn Chinees is inderdaad wat roestig. Bedankt :)

  • Volgende discussie
  • Vorige discussie
#3 gbh

“Vooralsnog hebben we geen reden aan te nemen dat de hack derden toegang heeft gegeven tot de database”

Beetje erg naïef; als je code kan implementeren op een database query heb je al toegang tot de database. Wilt natuurlijk niet zeggen dat ze meer gedaan hebben dan reclamelinks toevoegen.

  • Volgende discussie
  • Vorige discussie
#4 Joost

@gbh: Dat klopt, maar dat zeg ik na een korte inspectie van de toegevoegde code. Zoals gezegd, we komen er nog op terug.

Het ziet er vooralsnog uit als een 13 in een dozijn-hack van een geautomatiseerd systeem. Nog niet kunnen identificeren welke hack het is, overigens.

  • Volgende discussie
  • Vorige discussie
#5 gbh

@4: Hebben jullie geen log?

  • Volgende discussie
  • Vorige discussie
#6 Joost

@5: Jawel, maar tot nu toe geen tijd

  • Volgende discussie
  • Vorige discussie
#7 gbh

Code kan normaal alleen toegevoegd zijn met de update van een plug-in en anders heb je een veel groter probleem.

Een injectie zou normaal bij WP niet moeten kunnen zijn meestal brakke plug-ins.

  • Vorige discussie