Website hacked by zeynnymouz

xhelazz · 12 Abr 2015

Pues si, cuando chequee mis sitios web, todos eran "hacked by zeynnymouz". Cuando entraba en la pagina principal, aparecia eso + una cancion bonita. Al "wp-admin" podia acceder, pero, como dije, el "index" era afectado.

Foto del "index":

Los ficheros "index" y "index_backup.txt" fueron modificados:

-rw-r--r-- 1 nombredominio nombredominio 435 Apr 12 08:25 index_backup.txt
-rw-r--r-- 1 nombredominio nombredominio 4031 Apr 12 08:25 index.php

Mande un mensaje a mi compañia de hospedaje y me dijeron:

-actualizar los plugins;
-borrar los plugins que no uso;
-poner captcha para todo (login/register/comment/formulario de contacto);
-instalar Ose Firewall sau Wordfence.

Que hize yo? Pues:

-reinstalar una nueva version de Wordpress (aunque ya la tenia);
-cambiar el usuario de las bases de datos + la contraseña;
-instalar Wordfence;
-cambiar la contraseña del usuario de "wp-admin"
-instalar "captcha".

No sufri daños mayores, menos mal. Espero que os sirva de algo. Un saludo a todos.

____________________

13 abril 2015:

1.Y una cosa mas, hay que cambiar el prefijo de las bases de datos.

2.El plugin Wordfence me mando un correo:

Alert generated at Monday 13th of April 2015 at 04:44:39 AM

Critical Problems:

* WordPress core file modified: wp-content/index.php

* File appears to be malicious: wp-content/uploads/2015/03/update-b593ee7160190302316708d247bc1f66/tmp/_input_1_wp_init.php5

* This file may contain malicious executable code: /home/nombredominio/public_html/wp-content/uploads/2015/04/temp_552a01641b999.php

Borre los dos ficheros, que contenian symbolos. He visto que tambien me borro algunas fotos (pocas, muy pocas).

Negocios del Web · 12 Abr 2015

Que mala suerte, nos podrías comentar que WordPress estabas utilizando, que plugins, etc?

No es habitual que un WordPress sufra ese tipo de vulnerabilidades que hasta accedan a los archivos.

Gracias y ojala no te vuelva a pasar.

xhelazz · 12 Abr 2015

Livetechno dijo:
Que mala suerte, nos podrías comentar que WordPress estabas utilizando, que plugins, etc?

No es habitual que un WordPress sufra ese tipo de vulnerabilidades que hasta accedan a los archivos.

Gracias y ojala no te vuelva a pasar.

Buenas,

Dije que: -reinstalar una nueva version de Wordpress (aunque ya la tenia); - 4.1.1

Pues la vulnerabilidad no creo que la tuvo los plugins, porque uso muy pocos (no de los raros...) y los mismos desde años.

Antes:

Akismet
Google XML Sitemaps
SEO Ultimate
Sociable
Viper's Video Quicktags
Estadísticas de WP

Ahora:

Akismet
Google XML Sitemaps
SEO Ultimate
Sociable
Viper's Video Quicktags
Estadísticas de WP
Captcha
Wordfence Security

MastX · 12 Abr 2015

Livetechno dijo:
Que mala suerte, nos podrías comentar que WordPress estabas utilizando, que plugins, etc?

No es habitual que un WordPress sufra ese tipo de vulnerabilidades que hasta accedan a los archivos.

Gracias y ojala no te vuelva a pasar.

Pues la verdad es que si es bastante común, más de lo que creemos..
Por eso la importancia de mantener los plugins actualizados y no tener instalado más que lo indispensable (Quitar themes inactivos, plugins inactivos o que no usamos...)
Pero hasta el mejor plugin (Vease SEO By Yoast que sufrió una vulnerabilidad critica hace poco) o hasta una versión oficial de Wordpress, son susceptibles de tener errores críticos que hacen que los atacantes puedan acceder a nuestro sitio y jodernos.
De hecho incluso existen Plugins falsos para estos fines. (Funcionan, pero traen cosas ocultas)
Hace tiempo instalé un plugin para incluir en un nicho unas estadisticas de Tweets, estuve buscando durante dias algún plugin que hiciese esto y solo encontré uno.. con 15 mil descargas, lo instalé sin revisarlo y funciono genial.
Pasado 2 semanas, encontré en el sidebar de la web varios backlinks a webs de distintas tematicas... Pensé enseguida que me habían hackeado la BD o cualquier cosa, pero no encontré nada raro, ni si quiera accesos sospechosos.. NADA, hasta que después de mucho revisar, di con que fue el plugin.
El plugin funcionaba, si, pero inyectaba Backlinks a los usuarios que lo usaban (Buena tecnica blackhat)... afortunadamente solo hacia eso, incluir backlinks.
15.000 Descargas que tenia el plugin, y añadio 2 backlinks en mi caso.. 15.000 Backlinks de un plumazo que se llevo su creador :welcoming:

Y ya ni menciono los themes Nulled, que suelen incluir muchas sorpresas normalmente.

En definitiva, hay que tener cuidado, estamos muy expuestos.

cheoflowrd · 12 Abr 2015

A mi he lo han hecho 2 veces, eso es normal

xhelazz · 12 Abr 2015

Magazine809 dijo:
A mi he lo han hecho 2 veces, eso es normal

Frecuente quieres decir, no "normal".

kj2 · 12 Abr 2015

Pues ojo con los que no tengan contraseñas seguras, porque mi web por ej. tiene ataques de bruteforce desde distintas ips todos los días.

kj

mortixx · 12 Abr 2015

De verdad que cuanto gilipollas con diversión mas tonta chico, menos mal que no fue grave[emoji106]

Enviado desde mi iPhone utilizando Tapatalk

kj2 · 12 Abr 2015

Al menos te tocó uno bueno, hay otros que te meten códigos de los que no te das cuenta o te das cuenta tarde (El que se usa para DDoS por ej. o códigos de publicidad que no se muestran cuando estás como admin o desde tu país).

kj

xhelazz · 12 Abr 2015

Pues si, aunque tarde una hora en arreglar todo, me alegro de que no sufrieron daños mayores mis webs. Espero que a la siguente falle (ya que estoy, digamos "preparado"), porque volvera, estoy seguro.

Drasa · 12 Abr 2015

Ami me dijeron que fue algo de wordpress y luego resulto que entro por el servidor, exactamente por el panel haciendo fuerza bruta a Plesk.

Cambiar las claves root tambien.

Un saludo!

SonGoku · 12 Abr 2015

Anonymousse atacando con virus script? 😱

emski · 12 Abr 2015

Pues se nota que era un hacker "bueno" o algo así, ya que solo te editó el index.php como diciendo:

"Tu Wordpress es vulnerable, corrige los errores de seguridad antes de que alguien en verdad te lo dañe"

A mi me hackearon y me metieron codigo spam y aún sigo buscandolo, debe estar muy bien oculto :c.

xhelazz · 12 Abr 2015

tutorialesp dijo:
Pues se nota que era un hacker "bueno" o algo así, ya que solo te editó el index.php como diciendo:

"Tu Wordpress es vulnerable, corrige los errores de seguridad antes de que alguien en verdad te lo dañe"

A mi me hackearon y me metieron codigo spam y aún sigo buscandolo, debe estar muy bien oculto :c.

Si, pienso igual. Seguro que me queria (solo) advertir. Hay que empezar a tomar medidas.

Andres128 · 13 Abr 2015

tutorialesp dijo:
Pues se nota que era un hacker "bueno" o algo así, ya que solo te editó el index.php como diciendo:

"Tu Wordpress es vulnerable, corrige los errores de seguridad antes de que alguien en verdad te lo dañe"

A mi me hackearon y me metieron codigo spam y aún sigo buscandolo, debe estar muy bien oculto :c.

Es posible que este ofuscado, al parecer es un hacker indonesio que hace supuesto "white hat hacker" y hay muchas webs que cayeron por el:

Hacked by ZeynnymouZ
Hacked By ZeynnymouZ - LABORATORIO VIRTUAL BIORREFINERÍAS
Hacked By ZeynnymouZ

Como recomendación para todos creen contraseña de fuerza máxima, copienla en un archivo de texto para que no la olviden, cambien la ubicación del login, admin, y coloquen un plugin para evitar la fuerza bruta y por ultimo eviten instalar plugins de dudosa procedencia muchos de ellos traen vulnerabilidades :encouragement:

xhelazz · 13 Abr 2015

Y una cosa mas, hay que cambiar el prefijo de las bases de datos.

Enviado usando Taptalk 2

- - - Actualizado - - -

Al final, si que me dejo un regalo. El plugin Wordfence me mando un correo:

Alert generated at Monday 13th of April 2015 at 04:44:39 AM

Critical Problems:

* WordPress core file modified: wp-content/index.php

* File appears to be malicious: wp-content/uploads/2015/03/update-b593ee7160190302316708d247bc1f66/tmp/_input_1_wp_init.php5

* This file may contain malicious executable code: /home/nombredominio/public_html/wp-content/uploads/2015/04/temp_552a01641b999.php

Borre los dos ficheros, que contenian symbolos. He visto que tambien me borro algunas fotos (pocas, muy pocas).

Website hacked by zeynnymouz

xhelazz

Negocios del Web

xhelazz

MastX

cheoflowrd

xhelazz

kj2

mortixx

kj2

xhelazz

Drasa

SonGoku

emski

xhelazz

Andres128

xhelazz

Temas similares