Ayuda con hackeo en mi red de blogs

[Diandra84]

¡Saludos betas!

Ante todo pido disculpas porque no sé si esto está bien puesto aquí pero por eso solicito que de no ser así, algún moderador lo coloque correctamente.

Mi consulta es sobre una red de blogs que tengo que me han hackeado y no sé qué hacer para resolverlo. El hackeo, hacker o lo que sea se hace llamar WildClique alguien sabe algo de esto? Muchas gracias de antemano.

 

[DLDamian]

Dile a tu proveedor de hosting que te den una copia del ultimo backup y que te lo restauren, si no eliminaron nada solo avisales que te den nueva contraseña y que te digan por donde entraron

 

[genako]

Podrías aclarar un poco cual es el problema? Qué es lo que te han hecho? Cómo sabes que te han hackeado y que consecuencias tiene?

 

[Julio]

Te metieron algun virus? te quitaron el acceso a las paginas o que fue lo que especificamente te hicieron ?

 

[Diandra84]

¡Hola compañeros!

Pues no puedo acceder ni nada. Estoy con mi equipo tratando una solución y sí ha sido del hosting puesto que pasa lo mismo en todos los blogs. Muchas gracias de veras por las respuestas.

 

[Julio]

pues contacta de inmediato con el hosting para informarles, y aguas si ahi mismo tienes la administración de los dominios, no los vaya a transferir a alguien mas

 

[monchowebs]

Yo avisaria al hosting ellos deven tener un backup.

 

[S3L3N1TY]

Puffff que faena ¿tenías el mismo pass y configuración en todos los blogs?

 

[OsKaR]

[MENTION=19798]Diandra84[/MENTION] yo antes de nada haría una copia tanto de FTP como MYSQL, luego restauraría los archivos con una copia nueva de WP, y por ultimo, me pensaría cambiar de empresa a una mejor.

 

[Mcalderon]

¡Hola compañeros!

Pues no puedo acceder ni nada. Estoy con mi equipo tratando una solución y sí ha sido del hosting puesto que pasa lo mismo en todos los blogs. Muchas gracias de veras por las respuestas.

son varios blogs en una cuenta? o son en distintas cuentas con distintas pass?

 

[WindHack]

Bueno, eso se llama un Mass-defacement. Sólo queda restaurar o decirle a tu hosting que te cargue las copias de los archivos.

---------- Post agregado el 12-ago-2013 hora: 11:50 ----------

Es decir, rootearon el servidor, consiguieron acceder totalmente a él y luego defacearon a todos los sitios que estaban en él. Común en servidores compartidos.

Ahí están las notificaciones.
WildClique | Zone-H.org

 

[Mcalderon]

Bueno, eso se llama un Mass-defacement. Sólo queda restaurar o decirle a tu hosting que te cargue las copias de los archivos.

Pero depende, es dificil hacer un mass, bien si tiene todos en una cuenta multi-dominio pudo ser una shell porque le daria acceso a la raiz y de ahi meterse a las otras carpetas.

 

[WindHack]

Pero depende, es dificil hacer un mass, bien si tiene todos en una cuenta multi-dominio pudo ser una shell porque le daria acceso a la raiz y de ahi meterse a las otras carpetas.

Por eso, si haces un mass-defacement, significa que consigues acceso root, para ello usas una shell y luego ejecutas un exploit que eleve los privilegios.

 

[Mcalderon]

Por eso, si haces un mass-defacement, significa que consigues acceso root, para ello usas una shell y luego ejecutas un exploit que eleve los privilegios.

Pero es difícil hacer un mass, además cuando lo hacen suelen poner un index a todos los clientes. Lo mas probable que la shell fuera destinada a su cuenta solamente.

 

[WindHack]

Pero es difícil hacer un mass, además cuando lo hacen suelen poner un index a todos los clientes. Lo mas probable que la shell fuera destinada a su cuenta solamente.

¿Revisaste las notificaciones en Zone-H?
Ha hecho varios Mass en fechas seguidas y en servidores distintos.

Si haces un mass en un compartido y logras rootearlo accedes a todas las páginas presentes en él, independiente de si es X o Y usuario. Esto pasa a menudo en servidores con un kernel algo antiguo, los últimos servidores que he visto y a los que he accedido por shell tienen kernel mucho más actuales y que no cuentan con exploit para subir privilegios.

 

[housedir]

Deberías explicar mejor la situación, puedes ver tus webs o hubieron cambios? Te borraron los archivos? Puedes acceder al cpanel? Si puedes acceder al cpanel, vas a la base de datos de cada web y cambias la contraseña para poder acceder de nuevo a los blogs

 

[Diandra84]

Ya hemos avisado al hosting. Muchas gracias por la atención compañeros. La verdad es que jamás entenderé porque hay personas que se dedican a hacer este tipo de cosas por la red. Gracias de nuevo

 

[Mcalderon]

¿Revisaste las notificaciones en Zone-H?
Ha hecho varios Mass en fechas seguidas y en servidores distintos.

Si haces un mass en un compartido y logras rootearlo accedes a todas las páginas presentes en él, independiente de si es X o Y usuario. Esto pasa a menudo en servidores con un kernel algo antiguo, los últimos servidores que he visto y a los que he accedido por shell tienen kernel mucho más actuales y que no cuentan con exploit para subir privilegios.

Si, pero no cualquier rootea un servidor.

Además para estar seguros debemos saber si solo sucedió a su cuenta y si sus cuentas están en distintos hostings o en el mismo pero en distintas cuentas. También si usa las mismas pass en todos los blogs.

No digo que no pueda ser un rooteo al server, pero me parece un tanto mas probable que solo sea a su cuenta.

 

[WindHack]

Si, pero no cualquier rootea un servidor.

Además para estar seguros debemos saber si solo sucedió a su cuenta y si sus cuentas están en distintos hostings o en el mismo pero en distintas cuentas. También si usa las mismas pass en todos los blogs.

No digo que no pueda ser un rooteo al server, pero me parece un tanto mas probable que solo sea a su cuenta.

La mejor forma de comprobar si fue rooteo al servidor o sólo a su cuenta sería mediante un Reverse IP: Reverse IP Lookup - Find Other Web Sites Hosted on a Web Server

Si todos los dominios aparecen con señales de deface, fue un mass, caso contrario simplemente subió la shell y accedió a su hosting y desde allí cambió todo.

 

[hijodeDios]

Estos muchachos son un fastidio para la comunidad, que ganan haciendo esto.