UBH WordPress hack verwijderen

Geschreven door Hans

UBH WordPress hack verwijderen
UBH WordPress hack verwijderen

"UBH" WordPress-hack verwijderen

Iedere dag zorgen wij voor klanten van onze onderhoudspakketten voor WordPress controletaken uit. Deze week merkten wij hierbij een hack op bij één van onze klanten. Een groep die zich identificeert als “United Bangladeshi Hackers” was via de elders gehoste website tot de bestanden doorgedrongen. 

Wat willen deze hackers bereiken?

De “UBH” hack wil bereiken dat het een zogenaamde “pay-load”. Het wil de WordPress installatie beschadigen. Bezoekers van je website lopen vanaf dat moment risico. Het is een phishing-aanval die probeert inloggegevens te verzamelen door zich voor te doen als een legitieme aanmelding bij een bekend hulpprogramma of financiële instelling.

Hoe herken ik deze hack?

Er zijn een aantal overeenkomsten die opvallen wanneer deze hack door ons herkend wordt. Zo staat er vrijwel altijd plotseling een nieuwe, onbekende plugin geïnstaleerd. De plugin heet UBH CSU en kan shell-toegang tot de website geven (tenzij dit door de server expliciet niet toegestaan wordt).

Alle plugins staat uitgeschakeld. Dit is meestal het eerste dat de gebruiker of de eigenaar van de website zal opvallen. Eén of meerdere functies reageren niet meer en de website zal aan de voorzijde er anders uitzien dan normaal.

Aanval vanuit cPanel servers

De aanval wordt dus uitgevoerd vanaf de server. We hebben geen andere aanvallen gevonden dan die zijn uitgevoerd vanaf server die zijn verbonden met cPanel.

Het belangrijkste: hoe los je het op?

Ook deze hack wil je natuurlijk zo snel mogelijk opgelost hebben. Wij hebben het beste resultaat behaald met de volgende stappen:

  1. Wijzig het wachtwoord van je beheersomgeving (cPanel).
  2. Ga in cPanel van het getroffen domein naar Toepassingen en kies voor WordPress Manager.
  3. Klik op Beheren rechts van de domeinnaam en directory.
  4. Klik op het tabblad Admin aan de linkerkant en zoek de Hex gebruiker. Dat is het gehackte gebruikersaccount.
  5. Klik op Gebruikerswachtwoord wijzigen en maak een sterk wachtwoord om aan de gebruikersaccount toe te wijzen en klik vervolgens op de knop Wachtwoord wijzigen. (Zorg ervoor dat je het nieuwe wachtwoord dat je aangemaakt hebt opgeschreven hebt, want je zult het binnenkort gebruiken.
  6. Open een nieuw tabblad in de browser en ga naar de loginpagina van je WordPress website.
  7. Gebruik als gebruikersnaam “hex” en als wachtwoord het in stap 5 aangemaakte wachtwoord om in te loggen.
  8. Ga in WordPress naar Gebruikers om een nieuwe gebruiker aan te maken.
  9. Geef het nieuwe account een unieke naam en maak een sterk wachtwoord aan. Het is zeer aan te raden hier de functie Wachtwoord genereren van WordPress voor te gebruiken.
  10. Log nu uit bij WordPress en log in met de nieuwe gebruikersnaam en wachtwoord.
  11. Ga weer naar Gebruikers en verwijder het Hex account van de hacker.
  12. WordPress zal vragen “ Wat moet er worden gedaan met inhoud die eigendom is van deze gebruiker?” 
    Selecteer
  13. Ga naar Plugins en verwijder de plugin van de hacker: UBH CSU.
  14. Zoek met behulp van FTP of de cPanel File Manager en verwijdeer alle mappen die de phishing-payload bevatten. Deze worden vaak gevonden in de hoofdmap van het web, of in wp-admin/css/ en zijn meestal schijnbaar willekeurige reeksen letters en cijfers, zoals “Pc34” of “Tb23”.
  15. Schakel nu alle plugins weer in en leeg de cache van je website.

Heb je onze hulp nodig? Wil je graag dat wij je WordPress website onderhouden zodat je zeker bent van Eerste Hulp Bij Ongelukken? Neem gerust contact met ons op. 

5 2 stemmen
Artikelbeoordeling
Categorieën: BlogHacks

Abonneer
Laat het weten als er
guest
0 Reacties
Inline feedbacks
Bekijk alle reacties