{"id":9112,"date":"2012-07-22T09:18:27","date_gmt":"2012-07-22T09:18:27","guid":{"rendered":"http:\/\/\/\/sitestory.dk\/wordpress\/?p=9112"},"modified":"2014-12-31T22:58:55","modified_gmt":"2014-12-31T21:58:55","slug":"wordpress-inficeret-med-rr-nu-virus-mine-erfaringer","status":"publish","type":"post","link":"https:\/\/sitestory.dk\/wordpress\/2012\/07\/22\/wordpress-inficeret-med-rr-nu-virus-mine-erfaringer\/","title":{"rendered":"WordPress inficeret med rr.nu virus \u2013 mine erfaringer"},"content":{"rendered":"<p><strong>En \u2019uskyldig\u2019 logfil ledte mig p\u00e5 sporet af, hvad der havde inficeret min WordPress blog, og mine erfaringer kan m\u00e5ske hj\u00e6lpe andre.<\/strong><\/p>\n<p>Jeg er p\u00e5 ingen m\u00e5de ekspert, men jeg har da l\u00e6rt et og andet af, at min webside blev hacket, og i det f\u00f8lgende skriver jeg noget om, hvad der ledte mig p\u00e5 sporet af rr.nu-viruset, hvad man kan g\u00f8re pr\u00e6ventivt, og hvad man kan g\u00f8re, hvis det sker alligevel.<\/p>\n<p>Men lad mig f\u00f8rst beklage dybt, at jeg har bragt mine l\u00e6sere i fare. Hvis du er en af dem, der blev omdirigeret, anbefaler jeg kraftigt et virusscan af din computer, og hvis dit antivirusprogram ikke reagerede, da du blev omdirigeret, b\u00f8r du <strong>alvorligt<\/strong> overveje at anskaffe et andet!<\/p>\n<p>N\u00e5, til sagen! Som jeg skrev i g\u00e5r, slettede jeg hele WordPress-installationen i fredags, \u201dgjorde rent,\u201d skiftede password og installerede bloggen forfra.<\/p>\n<p>I g\u00e5r gennemgik jeg minuti\u00f8st hele mit website (alts\u00e5 ikke bare WordPress) med mit FTP-program. Fredag konstaterede jeg, at indbruddet m\u00e5tte v\u00e6re sket den 29. juni, hvor mange PHP-filer i WordPress var \u00e6ndret \u201dumotiveret\u201d, s\u00e5 jeg koncentrerede mig om alt fra den 29.6. og frem.<\/p>\n<p>Det tog timer at tjekke det hele, for det er efterh\u00e5nden et stort site, men der var gevinst: P\u00e5 samme niveau som kataloget med WordPress (og en del andre kataloger) l\u00e5 et katalog \u201d.logs\u201d som indeholdt en enkelt tilsyneladende uskyldig tekstfil \u201dlog1.txt\u201d.<\/p>\n<p>Filen indeholdt 20 webadresser, som alle sluttede p\u00e5 \u201drr.nu\u201d. Jeg indsatte med d\u00f8dsforagt en af dem i min browser, og antivirusprogrammet fik et hysterisk anfald. Webadresser var bl.a. det, jeg ledte efter fredag, da jeg granskede PHP-filer, men jeg ledte det forkerte sted.<\/p>\n<p>Jeg overvejede at erstatte webadresserne med \u201dSmiley was here,\u201d men valgte at slette filen.<\/p>\n<p>En s\u00f8gning p\u00e5 \u201drr.nu\u201d gav omg\u00e5ende alarmerende resultat. Det er en stribe sub-dom\u00e6ner p\u00e5 en server i U.S.A., som er kendte for med virus at omdirigere til sider med malware, og de har bl.a. hacket masser af PHP-baserede sider som WordPress-blogs, Joomla m.fl.<\/p>\n<p><!--more-->Hvis jeg fredag, da jeg granskede filer, havde vidst, hvad jeg ved nu, ville jeg straks have set, at mine WordPress PHP-filer var inficeret med virus fra rr.nu, for s\u00e5 er der \u00f8verst i nogle PHP-filer indsat kode, som ser nogenlunde s\u00e5ledes ud (dette er bare en stump):<\/p>\n<p><a href=\"http:\/\/\/\/sitestory.dk\/wordpress\/wp-content\/uploads\/2012\/07\/rrnu-code.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-9113\" title=\"rr.nu viruskode\" src=\"http:\/\/\/\/sitestory.dk\/wordpress\/wp-content\/uploads\/2012\/07\/rrnu-code.jpg\" alt=\"rr.nu viruskode\" width=\"599\" height=\"81\" srcset=\"https:\/\/sitestory.dk\/wordpress\/wp-content\/uploads\/2012\/07\/rrnu-code.jpg 599w, https:\/\/sitestory.dk\/wordpress\/wp-content\/uploads\/2012\/07\/rrnu-code-300x40.jpg 300w\" sizes=\"auto, (max-width: 599px) 100vw, 599px\" \/><\/a><\/p>\n<p>Bem\u00e6rk det med \u201deval (base 64_decode&#8230;\u201d og se evt. <a title=\"Symptomer p\u00e5 rr.nu virus i WordPress\" href=\"http:\/\/www.spkaa.com\/3-step-fix-for-your-rr-nu-wordpress-virus-outbreak\" target=\"_blank\" rel=\"nofollow\">3-Step Fix for your rr.nu WordPress Virus Outbreak<\/a>.<\/p>\n<p>\u201deval(base 64_decode&#8230;\u201d s\u00e5 jeg adskillige eksempler p\u00e5, mens jeg forg\u00e6ves ledte efter uartige links eller en PHP-omdirigering, men p\u00e5 det tidspunkt var koden bare krimskrams for mig. Det havde nu heller ikke \u00e6ndret p\u00e5 l\u00f8sningen, nemlig at slette hele skidtet og starte forfra.<\/p>\n<p>Der er nogen, der h\u00e6vder, at de kan \u201drense\u201d inficerede WordPress-installationer, men virus har det med at mutere, og kommer den digitale Klorin mon ud i alle kroge?<\/p>\n<h3>Hvordan beskytte sig?<\/h3>\n<p>Man kan beskytte sig, s\u00e5 godt man form\u00e5r, men man skal ogs\u00e5 v\u00e6re praktisk og t\u00e6nke p\u00e5, hvordan man kan genskabe siden, hvis uheldet alligevel er ude (som i mit tilf\u00e6lde).<\/p>\n<p>Man kan komme langt ved at \u00e6ndre sin .htaccess fil (fx <a title=\"Om at \u00e6ndre i .htaccess\" href=\"http:\/\/www.netmagazine.com\/tutorials\/protect-your-wordpress-site-htaccess\" target=\"_blank\" rel=\"nofollow\">som beskrevet her<\/a>) og evt. lave flere .htaccess-filer, men det er temmelig langh\u00e5ret. Der er plugins, som kan hj\u00e6lpe, men man bev\u00e6ger sig p\u00e5 tynd is, fordi meget kan v\u00e6re serverspecifikt, og man risikerer pludselig at have lukket sig selv ude, og det var jo ikke meningen. Det er effektivt, men det er for viderekomne.<\/p>\n<h3>De gamle travere g\u00e6lder stadig<\/h3>\n<p>Et godt password skal man have; men selvom mit gamle password var p\u00e5 20 karakterer og (i praksis) umuligt at bryde, kom hackerne ind alligevel. De m\u00e5 have benyttet sig af en \u201dbagd\u00f8r,\u201d og brugbare \u201dbagd\u00f8re\u201d kan v\u00e6re for\u00e6ldet software som fx de plugins, man bruger for at give WordPress \u00f8get funktionalitet.<\/p>\n<p>S\u00f8rg derfor altid for at have sidste version af WordPress, dit tema og dine plugins. Drop brugen af gamle plugins, som ikke opdateres! Find et nyere alternativ eller gl\u00e6d dig over, at bloggen pludselig er blevet hurtigere.<\/p>\n<h3>Hvordan opdage at din blog er blevet virusramt?<\/h3>\n<p>Da jeg ikke selv oplevede at blive omdirigeret til en anden side, sv\u00e6vede jeg i uvidenhed om, at min side var kompromitteret. Man kan k\u00f8be sig til l\u00f8sninger, men det helt enkle er at g\u00f8re som f\u00f8lger:<\/p>\n<p>Hold <strong>j\u00e6vnligt<\/strong> \u00f8je med dine filers datom\u00e6rkning \u2013 fx med et FTP-program. I mit tilf\u00e6lde kunne jeg (efterf\u00f8lgende) se, at adskillige PHP-filer havde \u00e6ndret dato den 29. juni. PHP-filer er programfiler, og de \u00e6ndres ikke, medmindre de overskrives som ved en opdatering, eller hvis nogen (hackere) \u00e6ndrer dem.<\/p>\n<p>Det tager kun et \u00f8jeblik, og hvis man ser, at nogle af filerne har \u00e6ndret dato (og man ikke har opdateret den dag), er der ugler i mosen. Det er ikke nok at se p\u00e5 katalogets dato \u2013 den \u00e6ndrer sig ikke n\u00f8dvendigvis, fordi en fil er \u00e6ndret.<\/p>\n<p>Tjek datoen p\u00e5 \u201dkernefiler\u201d som .htaccess, wp-config.php og dit temas header.php. wp-config ligger i WordPress\u2019 rod, og temaet ligger i wp-content\/themes\/.<\/p>\n<h3>N\u00e5r uheldet er sket<\/h3>\n<p>Brug et FTP-program og download en kopi af dine uploads (alts\u00e5 billeder og den slags) og s\u00f8rg for at bevare samme katalogstruktur som p\u00e5 serveren. Hvis der er PHP-filer eller scripts imellem, s\u00e5 slet dem \u2013 de h\u00f8rer ikke hjemme her!<\/p>\n<p>Lav en XML-eksport af bloggens indhold (ekskl. billeder) hvis du ikke har en backup i forvejen. XML-filen <strong>kan<\/strong> v\u00e6re kompromitteret, men medmindre databasen er inficeret, vil virus \u00e6ndre en side, i det \u00f8jeblik den genereres dynamisk, og derfor kan XML-filen godt v\u00e6re sund og rask.<\/p>\n<p>Hvis du ikke kan huske det hele, s\u00e5 tag notater om din ops\u00e6tning, og hvordan dine widgets er sat op. Kopi\u00e9r din blogroll.<\/p>\n<p>Slet hele WordPress-installationen (<strong>hele<\/strong> installationen inklusive plugins og databasen) og skift FTP- og brugerpassword. Jeg vil ikke afvise, at det kan v\u00e6re muligt at \u201ddesinficere,\u201d men en fysisk sletning er det sikreste.<\/p>\n<p>Tjek for \u201dg\u00f8geunger\u201d andre steder p\u00e5 websitet, hvis alts\u00e5 du har mere og andet end bare WordPress. Et virusscan af din lokale computer er heller ikke af vejen. Install\u00e9r derefter en jomfruelig version af WordPress og upload den backup, du foretr\u00e6kker.<\/p>\n<p>Hvis du bruger en XML-fil, kan du jo lige s\u00f8ge p\u00e5 fx \u201djavascript\u201d og lignende for at se, om der er g\u00f8geunger i filen. Du kan fx \u00e5bne filen i din browser eller i Notesblok \u2013 det sker der ikke noget ved. Hvis filen er meget stor, kan det v\u00e6re n\u00f8dvendigt at dele den op i mindre portioner, n\u00e5r den skal importeres.<\/p>\n<p>Der er selvf\u00f8lgelig andre backupl\u00f8sninger, som nemt kan findes ved en s\u00f8gning. N\u00e5r blogindl\u00e6g m.v. er importeret, er det tid for backup\u2019en af dine billeder (\u201dUploads\u201d).<\/p>\n<p>Jeg ved godt, at meget af det, jeg har skrevet, kun kan lade sig g\u00f8re for installationer p\u00e5 private websites, men dem er der immerv\u00e6k ogs\u00e5 nogle stykker af, og de er m\u00e5ske ogs\u00e5 de mest s\u00e5rbare.<\/p>\n<p>Vi kan alle rammes af indbrud \u2013 sp\u00f8rg bare Pentagon! Det, der \u00e6rgrer mig mest, er, at jeg ikke opdagede det tidligere og derved udsatte mine l\u00e6sere for un\u00f8dig risiko. I fremtiden vil jeg bruge mit FTP-program langt oftere for at tjekke datoer.<\/p>\n<p>Pas p\u00e5 derude!<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En \u2019uskyldig\u2019 logfil ledte mig p\u00e5 sporet af, hvad der havde inficeret min Wordpress blog, og mine erfaringer kan m\u00e5ske hj\u00e6lpe andre.<br \/>\nJeg er p\u00e5 ingen m\u00e5de ekspert, men jeg har da l\u00e6rt et og andet af, at min webside blev hacket, og i det f\u00f8lgende skriver jeg noget om, hvad der ledte mig p\u00e5 sporet af rr.nu-viruset, hvad man kan g\u00f8re pr\u00e6ventivt, og hvad man kan g\u00f8re, hvis det sker alligevel. (&#8230;)<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[788,2327,2282],"class_list":["post-9112","post","type-post","status-publish","format-standard","hentry","category-it-internet","tag-hackere","tag-rr-nu-virus","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/9112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/comments?post=9112"}],"version-history":[{"count":0,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/9112\/revisions"}],"wp:attachment":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/media?parent=9112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/categories?post=9112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/tags?post=9112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}