Wat zijn Pharmahacks?

Het Fenomeen Pharmahacks

Dit was ongeveer het grootste probleem van een aantal jaar geleden. Het plaatste ‘overal’ code en bijna onmogelijk om te verhelpen. Alsof er onkruid groeide op je server. Je kon bijna beter je server leeghalen en opnieuw beginnen. In dit bericht meer over dit fenomeen.

Ja het is irritant en storend maar als jij dit niet aanpakt dan heeft het consequenties voor je zoekresultaten. Sterker nog… je wordt geblokkeerd en je zal uit de zoekresultaten verdwijnen. En helaas het steekts soms (zeker bij goedkope hosting) nog wel eens de kop op.

Pharma-hacks---onveilige-website

Hoe werkt een pharmahack?

Op het moment dat ze toegang tot je site hebben plaatsen ze code. Normaliter een encryptie code; base64. Je kan het herkennen in de code door dat je het woord base64 ziet gevolgd door een hele reeks tekens. Je zal geen idee hebben wat er staat totdat je het decodeerd.

Als je het zou decoderen zou er iets staan in de trend: voeg deze code in (bijvoorbeeld html / script) op de website en voer het uit. Een stapje verder zou zijn dat als iemand is ingelogd de code niet getoond wordt. Zo zoude eigenaren van de website nooit doorhebben dat hun site een pharmahack heeft. Totdat klanten ineens vragen stellen over waarom jij ineens reclame maakt voor ‘bepaalde’ medicijnen.

Zelf controleren?

Zelfs ip-adressen (het adres waarvan jij internet bezoekt) worden zelfs toegevoegd zodat de code niet getoond wordt. Als een klant jou wijst op de advertentie kan jij deze nog steeds niet zien… Alles lijkt in orde…

TIP: zet je wifi uit op je mobiel en bezoek je website.

Juichen en huilen …

Stel je hebt gevonden waar de code zich bevindt bijvoorbeeld in de plugin map op de server van een veel geïnstalleerde plugin genaamd Akismet. Je verwijderd het bestandje en alles lijkt weer in orde. Binnen een uur is je site weer voorzien van die vervelende advertenties…

Speld in een hooiberg

Wat een pharmahack namelijk doet is dat er ook nog ergens op de server een bestandje wordt toegevoegd. Je hebt geen idee waar het zich bevindt. Dit kan helemaal het geval zijn bij goedkope shared hosting accounts. Op die ene server staan misschien wel duizend andere websites. Ergens op een website op die server staat een bestandje dat iedere tien minuten controleert en zoekt door de hele server naar functions.php, index.php, page.php, frontpage.php. In die bestanden zal de base64 code worden toegevoegd.

Callback

Het wordt nog complexer. Als het de code heeft toegevoegd wordt er ook een callback toegevoegd naar het originele bestand. Zo kan het controleren of het originele bestand er nog is. Zo niet, download het van locatie x en plaats het terug op de server. Je begrijpt dat zelfs als je het verwijderd leek te hebben je steeds wordt terug geworpen tot dat jij de hele server hebt schoon geveegd.

Pharma-hacks---onveilige-website

De oplossing

Een goede webhosting account biedt eigenlijk al een goede oplossing. Ze zijn zich bewust van het pharmahack probleem. Een veiligheids-patch die de hosting partij verzorgt helpt. Eigen afgesloten hostingpakket is echt een must. In de afgelopen 10 jaar is het mij twee maal overkomen. Aangezien de sites die ik beheer back-ups hebben die uren, dagen, weken terug gaan kan ik altijd een versie van ‘voor’ de hack terugplaatsen. Daarnaast heb ik altijd de hosting partij op de hoogte gebracht. Mogelijk was er op de server een andere site de bron. In beide gevallen deden ze net alsof er niets aan de hand was terwijl de server en daarna toch even uit lag en een patch werd uitgevoerd. Vanbrent Webservices houdt een oogje in het zeil.

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *