We plaatsen een cookie voor Google Analytics om onze website te verbeteren

Met een cookie kun je advertenties personaliseren. Wij hanteren echter de strikte regels van de Autoriteit Persoonsgegevens. Surfgedrag houden we niet bij en we achtervolgen je ook niet met reclame.

WordPress massaal geïnfecteerd met adsformarket redirects. Zo ruim je het op!

Er gaat een kwaadaardig JavaScript van adsformarket rond. Hierdoor wordt malafide code in WordPress geïnjecteerd, waarmee URL-redirects naar frauduleuze websites worden ingesteld. Ben je erdoor getroffen, dan wil je natuurlijk graag weten hoe je het oplost. Volg het stappenplan in dit artikel om je WordPress-website op te schonen!

Fix adsformarket URL redirect

Wat is er aan de hand?

We volgen nieuws omtrent beveiligingslekken in software altijd op de voet. Zo kwamen we op de hoogte van duizenden WordPress-websites die met een kwaadaardig JavaScript geïnfecteerd zijn geraakt. De afgelopen week nam het aantal infecties verder toe, waarbij hackers van kwetsbaarheden in een tal van plugins misbruik maken. Het gaat bijvoorbeeld om Simple Fields, InfiniteWP Client en waarschijnlijk ook andere.

Controleren of je pakket met adsformarket is geïnfecteerd?
Doe de SiteCheck van Sucuri of voer via SSH dit commando uit:

grep -liR 'adsformarket' $WP_PATH

Inmiddels berichten enkele grote securitywebsites over het probleem, zoals Infosecurity en Sucuri. Het malafide script zorgt ervoor dat er ongewenst redirects worden ingesteld naar een reeks frauduleuze domeinnamen, zoals gotosecond2 [.] com, adsformarket [.] com, admarketlocation [.] com en admarketresearch [.] xyz. Bezoek deze websites niet!

Hoe kan WordPress geïnfecteerd raken?

Hackers kunnen dankzij kwetsbaarheden in WordPress zichzelf ongewenst toegang verschaffen tot (delen) van jouw website. Eenmaal binnen, maken ze misbruik van het gevonden beveiligingslek door een een stukje code te injecteren. Hiermee roepen ze vervolgens een script aan dat een reeks doorverwijzingen (redirects) start naar onbetrouwbare websites. Hierop wordt geadverteerd met het invullen van (nep)enquêtes in ruil voor zogenaamde geschenken. Bezoekers van deze websites worden misleid om persoonlijke informatie over te dragen en ongewild malware te installeren.

Kwaadaardig script adformarket verwijderen uit WordPress

Momenteel zijn er nog geen beveiligingsupdates voor de lekken in WordPress en de kwetsbare plugins uitgerold. Eén van onze medewerkers heeft daarom een oplossing (cleanup adsformarket WordPress) ontwikkeld om je van deze vervelende rotzooi te verlossen. Mocht je WordPress-website (of één van je plugins) door dit kwaadwillende JavaScript geïnfecteerd zijn, dan kun je dat oplossen door onderstaande stappen te volgen.

Stap 1: backup maken en via SSH inloggen

Maak eerst een backup van je huidige website, alvorens je aan de gang gaat. Mocht er bij het opschonen namelijk iets niet goed gaan, dan kun je terugkeren naar de beginsituatie om het vervolgens opnieuw te proberen. Als de backup is gemaakt, log je via SSH in op je webhostingpakket. Eenmaal ingelogd ga je naar de map waar je WordPress-installatie in staat:

cd domains/jouwdomeinnaam.nl/public_html

Stap 2: injecties opschonen

De volgende stap is het opschonen van de snippet.adsformarket.com-injecties. De specifieke geïnjecteerde scriptregel ziet er zo uit:

Script adsformarket

Nu moet je binnen je hostingpakket zoeken in welke bestanden van je website ‘snippet.adsformarket.com’ wordt vermeld. Deze specifieke scriptregel vinden en verwijderen, gaat met het onderstaande commando:

wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/60b7f884bf6b9eb3867909f320b416fcd6d2af47/cleanup-adsformarket.bash | bash

Om niet een enorme lijst met bestanden in de terminal weer te geven, worden de gevonden files naar twee tekstbestanden weggeschreven. Deze bestanden worden een niveau onder de public_html geplaatst en heten adsformarket.txt en track.adsformarket.txt. Daar zie je welke bestanden zijn opgeschoond.

Stap 3: JavaScript opschonen

In veel andere bestanden wordt een groter blok JavaScript toegevoegd. Dat blok ziet er zo uit:

Grijs blok met JavaScript-code.

Om dit blok op te schonen, gaan we op zoek naar vermeldingen van ‘gfjfgjk’. We verwijderen bij de betreffende bestanden de eerste bytes (waarvan het aantal overeenkomt met het aantal bytes van het te verwijderen blok). Dat kan met dit commando:

wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/60b7f884bf6b9eb3867909f320b416fcd6d2af47/cleanup-gfjfgjk.bash | bash

De aangepaste bestanden kunnen (op hetzelfde niveau als het tekstbestand adsformarket.txt) gevonden worden in het bestand gfjfgjk.txt. Zo weet je ook hier wat er gevonden en opgeschoond is.

Stap 4: home en siteurl corrigeren

In sommige gevallen wordt de home of siteurl van de website in de database aangepast naar een URL van adsformarket. Dit los je op door deze naar je eigen domeinnaam te zetten via phpMyAdmin of met behulp van WP-CLI:

$wp option set home 'https://debetreffendedomeinnaam.nl' --skip-plugins --skip-themes --path=$WP_PATH

$wp option set siteurl 'https://debetreffendedomeinnaam.nl' --skip-plugins --skip-themes --path=$WP_PATH

Stap 5: ongewenste redirects opsporen

Vervolgens zoek je op je webhostingpakket naar andere ongewenste redirects en vermeldingen van ‘adsformarket’. Dat kan met dit commando:

grep -liR 'adsformarket' $WP_PATH

Stap 6: WordPress updaten

Het is nu belangrijk dat je WordPress, plugins en thema’s bijwerkt naar de actuele versies. Daarna dien je jouw WordPress-website te laten scannen door een plugin als Wordfence. Ook kun je de Sucuri SiteCheck gebruiken om een extra scan uit te voeren die op kwaadaardige infecties controleert.

Met deze stappen verwijder je alleen de specifiek genoemde injecties
Het blijft belangrijk de gehele installatie grondig na te lopen en bij te werken.

Tot slot

We houden onze webhosting continue in de gaten en voeren regelmatig updates uit om misbruik te voorkomen. Ook draaien we Patchman, waarmee we vroegtijdig beveiligingslekken kunnen detecteren en repareren. Zo blijft onze infrastructuur snel, veilig en stabiel. Echter, over de inhoud van jouw website hebben wij geen controle. Het is en blijft daarom van belang dat ook jij actief je website up-to-date houdt. Voorkomen is beter dan genezen!

We blijven ontwikkelingen omtrent dit kwaadaardige JavaScript nauwlettend volgen. Zonodig treffen we opnieuw maatregelen. Ben je erdoor getroffen, dan hopen we in ieder geval dat deze stappen je hebben geholpen. Als je daarover vragen hebt, dan kun je uiteraard met onze Support contact opnemen. We helpen je graag verder!

P.S. Op de hoogte blijven van alle artikelen, updates, tips en trucs die op ons blog verschijnen? Volg ons via Facebook, Twitter, Instagram, RSS en e-mail!

Deel dit blog
Antagonist
Antagonist

De vertrouwde thuisbasis voor meer dan 100.000 websites. Eenvoud, kwaliteit en service. Complete webhosting, waarin je alles vindt voor de start van jouw online succes!

Artikelen: 52

10 reacties

  1. Hoe weet je of je website geïnfecteerd is? Kunnen jullie de bovenstaande stappen in onze plaats uitvoeren? Ik heb het bekeken maar begrijp er niet veel van…

  2. Bedankt voor het delen van deze belangrijke informatie en de oplossing.

    Klopt het dat de gratis Wordfence plugin hier bescherming tegen biedt?

  3. Begrijp niet veel van jullie oplossing helaas. Is er ook een mogelijkheid om te controleren of je site überhaupt ‘besmet’ is?
    Kan enige hulp bij dit alles zeer waarderen!
    Dank!

    • Hi Irma,

      Waarschijnlijk merk je het wel als je site besmet is, daar deze dan bezoekers doorstuurt naar frauduleuze websites. Het kan natuurlijk nooit kwaad om je site te controleren. Dat kan via SSH met het commando: grep -liR ‘adsformarket’ $WP_PATH. Echter, als je wat minder technisch onderlegd bent, dan kun je de SiteCheck van Sucuri doen: https://sitecheck.sucuri.net/ en dan bij het kopje ‘Website Malware & Security’ de uitkomst checken.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Sterren Webhosting: 5 sterren uit 5.830 reviews

60.000+ webhostingpakketten actief
Bij de beste webhosters in MT1000 en Emerce 100