Er gaat een kwaadaardig JavaScript van adsformarket rond. Hierdoor wordt malafide code in WordPress geïnjecteerd, waarmee URL-redirects naar frauduleuze websites worden ingesteld. Ben je erdoor getroffen, dan wil je natuurlijk graag weten hoe je het oplost. Volg het stappenplan in dit artikel om je WordPress-website op te schonen!
Wat is er aan de hand?
We volgen nieuws omtrent beveiligingslekken in software altijd op de voet. Zo kwamen we op de hoogte van duizenden WordPress-websites die met een kwaadaardig JavaScript geïnfecteerd zijn geraakt. De afgelopen week nam het aantal infecties verder toe, waarbij hackers van kwetsbaarheden in een tal van plugins misbruik maken. Het gaat bijvoorbeeld om Simple Fields, InfiniteWP Client en waarschijnlijk ook andere.
Controleren of je pakket met adsformarket is geïnfecteerd?
Doe de SiteCheck van Sucuri of voer via SSH dit commando uit: grep -liR 'adsformarket' $WP_PATH
Inmiddels berichten enkele grote securitywebsites over het probleem, zoals Infosecurity en Sucuri. Het malafide script zorgt ervoor dat er ongewenst redirects worden ingesteld naar een reeks frauduleuze domeinnamen, zoals gotosecond2 [.] com, adsformarket [.] com, admarketlocation [.] com en admarketresearch [.] xyz. Bezoek deze websites niet!
Hoe kan WordPress geïnfecteerd raken?
Hackers kunnen dankzij kwetsbaarheden in WordPress zichzelf ongewenst toegang verschaffen tot (delen) van jouw website. Eenmaal binnen, maken ze misbruik van het gevonden beveiligingslek door een een stukje code te injecteren. Hiermee roepen ze vervolgens een script aan dat een reeks doorverwijzingen (redirects) start naar onbetrouwbare websites. Hierop wordt geadverteerd met het invullen van (nep)enquêtes in ruil voor zogenaamde geschenken. Bezoekers van deze websites worden misleid om persoonlijke informatie over te dragen en ongewild malware te installeren.
Kwaadaardig script adformarket verwijderen uit WordPress
Momenteel zijn er nog geen beveiligingsupdates voor de lekken in WordPress en de kwetsbare plugins uitgerold. Eén van onze medewerkers heeft daarom een oplossing (cleanup adsformarket WordPress) ontwikkeld om je van deze vervelende rotzooi te verlossen. Mocht je WordPress-website (of één van je plugins) door dit kwaadwillende JavaScript geïnfecteerd zijn, dan kun je dat oplossen door onderstaande stappen te volgen.
Stap 1: backup maken en via SSH inloggen
Maak eerst een backup van je huidige website, alvorens je aan de gang gaat. Mocht er bij het opschonen namelijk iets niet goed gaan, dan kun je terugkeren naar de beginsituatie om het vervolgens opnieuw te proberen. Als de backup is gemaakt, log je via SSH in op je webhostingpakket. Eenmaal ingelogd ga je naar de map waar je WordPress-installatie in staat:
cd domains/jouwdomeinnaam.nl/public_html
Stap 2: injecties opschonen
De volgende stap is het opschonen van de snippet.adsformarket.com-injecties. De specifieke geïnjecteerde scriptregel ziet er zo uit:
Nu moet je binnen je hostingpakket zoeken in welke bestanden van je website ‘snippet.adsformarket.com’ wordt vermeld. Deze specifieke scriptregel vinden en verwijderen, gaat met het onderstaande commando:
wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/60b7f884bf6b9eb3867909f320b416fcd6d2af47/cleanup-adsformarket.bash | bash
Om niet een enorme lijst met bestanden in de terminal weer te geven, worden de gevonden files naar twee tekstbestanden weggeschreven. Deze bestanden worden een niveau onder de public_html geplaatst en heten adsformarket.txt en track.adsformarket.txt. Daar zie je welke bestanden zijn opgeschoond.
Stap 3: JavaScript opschonen
In veel andere bestanden wordt een groter blok JavaScript toegevoegd. Dat blok ziet er zo uit:
Om dit blok op te schonen, gaan we op zoek naar vermeldingen van ‘gfjfgjk’. We verwijderen bij de betreffende bestanden de eerste bytes (waarvan het aantal overeenkomt met het aantal bytes van het te verwijderen blok). Dat kan met dit commando:
wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/60b7f884bf6b9eb3867909f320b416fcd6d2af47/cleanup-gfjfgjk.bash | bash
De aangepaste bestanden kunnen (op hetzelfde niveau als het tekstbestand adsformarket.txt) gevonden worden in het bestand gfjfgjk.txt. Zo weet je ook hier wat er gevonden en opgeschoond is.
Stap 4: home en siteurl corrigeren
In sommige gevallen wordt de home of siteurl van de website in de database aangepast naar een URL van adsformarket. Dit los je op door deze naar je eigen domeinnaam te zetten via phpMyAdmin of met behulp van WP-CLI:
$wp option set home 'https://debetreffendedomeinnaam.nl' --skip-plugins --skip-themes --path=$WP_PATH
$wp option set siteurl 'https://debetreffendedomeinnaam.nl' --skip-plugins --skip-themes --path=$WP_PATH
Stap 5: ongewenste redirects opsporen
Vervolgens zoek je op je webhostingpakket naar andere ongewenste redirects en vermeldingen van ‘adsformarket’. Dat kan met dit commando:
grep -liR 'adsformarket' $WP_PATH
Stap 6: WordPress updaten
Het is nu belangrijk dat je WordPress, plugins en thema’s bijwerkt naar de actuele versies. Daarna dien je jouw WordPress-website te laten scannen door een plugin als Wordfence. Ook kun je de Sucuri SiteCheck gebruiken om een extra scan uit te voeren die op kwaadaardige infecties controleert.
Met deze stappen verwijder je alleen de specifiek genoemde injecties
Het blijft belangrijk de gehele installatie grondig na te lopen en bij te werken.
Tot slot
We houden onze webhosting continue in de gaten en voeren regelmatig updates uit om misbruik te voorkomen. Ook draaien we Patchman, waarmee we vroegtijdig beveiligingslekken kunnen detecteren en repareren. Zo blijft onze infrastructuur snel, veilig en stabiel. Echter, over de inhoud van jouw website hebben wij geen controle. Het is en blijft daarom van belang dat ook jij actief je website up-to-date houdt. Voorkomen is beter dan genezen!
We blijven ontwikkelingen omtrent dit kwaadaardige JavaScript nauwlettend volgen. Zonodig treffen we opnieuw maatregelen. Ben je erdoor getroffen, dan hopen we in ieder geval dat deze stappen je hebben geholpen. Als je daarover vragen hebt, dan kun je uiteraard met onze Support contact opnemen. We helpen je graag verder!
P.S. Op de hoogte blijven van alle artikelen, updates, tips en trucs die op ons blog verschijnen? Volg ons via Facebook, Twitter, Instagram, RSS en e-mail!
Kan dit ook via Patchman worden verwijdert?
Hi Sander,
Voor zover we nu weten, nog niet. We hopen natuurlijk dat ze dit zo snel mogelijk gaan oppakken, zodat iedereen automatisch beschermd wordt.
Hoe weet je of je website geïnfecteerd is? Kunnen jullie de bovenstaande stappen in onze plaats uitvoeren? Ik heb het bekeken maar begrijp er niet veel van…
Hi Lize,
Je kunt het beste de SiteCheck van Sucuri doen: https://sitecheck.sucuri.net/ en dan bij het kopje ‘Website Malware & Security’ de uitkomst checken. Mocht er wat aan de hand zijn en je komt er niet uit, dan kun je uiteraard mailen met Support!
Bedankt Jeroen, ik heb de test gedaan en er is niets gevonden.
Dat is goed nieuws, Lize. Veel succes verder met je website!
Bedankt voor het delen van deze belangrijke informatie en de oplossing.
Klopt het dat de gratis Wordfence plugin hier bescherming tegen biedt?
Hi Tim,
Bescherming weet ik niet zeker. Met Wordfence kun je wel zien of je website geïnfecteerd is.
Begrijp niet veel van jullie oplossing helaas. Is er ook een mogelijkheid om te controleren of je site überhaupt ‘besmet’ is?
Kan enige hulp bij dit alles zeer waarderen!
Dank!
Hi Irma,
Waarschijnlijk merk je het wel als je site besmet is, daar deze dan bezoekers doorstuurt naar frauduleuze websites. Het kan natuurlijk nooit kwaad om je site te controleren. Dat kan via SSH met het commando: grep -liR ‘adsformarket’ $WP_PATH. Echter, als je wat minder technisch onderlegd bent, dan kun je de SiteCheck van Sucuri doen: https://sitecheck.sucuri.net/ en dan bij het kopje ‘Website Malware & Security’ de uitkomst checken.