Hacked Blogs: Cambio de Index, ¿Cómo Prevenirlo?

  • Autor Autor Ray Ban
  • Fecha de inicio Fecha de inicio
R

Ray Ban

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Hola a todos, hace poco mis dos blogs fueron hackeados recibiendo un titulo como :

Hacked By ...

Lo que veo es que cambiaron el index de mis dos blogs, los cambie, pero despues nose que hacer, no entiendo muy bien como lo hicieron y como prevenir que vuelvan a hacer
 
cambia tus contraseñas de todo, y lo han de haber echo mediante algun exploit o bug, o algun inyeccion sql

Ray Ban dijo:
Hola a todos, hace poco mis dos blogs fueron hackeados recibiendo un titulo como :

Hacked By ...

Lo que veo es que cambiaron el index de mis dos blogs, los cambie, pero despues nose que hacer, no entiendo muy bien como lo hicieron y como prevenir que vuelvan a hacer
Hacer clic para expandir...
 
Hola :

Revisa que no haya código que no conoces en tu web, dile a tu hosting, que investigue la puerta de enlace del hacker.

También que pase el ClamAV por si dejaron alguna shells.

Y espero que tengas al día todos los plugins y CMS, para que no ocurra más..

Un saludo
 
Primero revisa muy bien que no haya sido un mass defacement (todos los sitios alojados en el servidor), ya que pudo ser por una vulnerabilidad allí. Además, también pudo ser por algún fallo en concreto de WordPress (algún 0 day o usas una versión desactualizada), o por otra parte algún plugin que tenía fallos.

P.D.: Revisa que no haya shells en tu servidor.

Saludos.,
 
Bien amigo , lo primero es saber si tu PC esta infectada y por ello obtenieron tus datos personales y la de tus blogs ( si es esto , recomiendo anti malwares ,antivirus , formateo).
Si no es eso , y fue por vulnerabilidades en tus blogs , ya sea SMYLINK ( Si esque tus dos blogs están en un mismo VPS o host ) un análisis interno , puedes contactar al root del host , para que eliminen las famosas SHELLs , o en todo caso cambiar de host , solo con un BACKUP del SQL de tus blogs.
 
Pide a tu host que te proporcione datos reales de tu inyección, cambia todas las contraseñas y revisa el código de las webs
 
Lo que hice fue limpiar/borrar todo lo de la carpeta public_html para despues instalar un wordpress integro, con su tema y conectado a su base de datos. Osea practicamente tengo un nuevo blog

Existe algun plugin para evitar las SQL Injections y xploits?
 
Supongo que hiciste lo correcto amigo ......
 
Última edición:
Quizás ese no sea el caso , y hallan hackeado todas las paginas del host , recomiendo que hagas un reverse DNS a tu web , hay muchas herramientas online en google , y te botara todas las paginas que están en el host , e intenta abrir algunas y ver si llevan el mismo mensaje , si solo es el caso de tus hosts , temporalmente hiciste lo correcto
 
Al hilo de esto ¿Sería recomendable poner un acceso protegido por .htaccess al wp-admin?
 
A mi me paso 2 veces con eso del hackeo, uno con joomla (en el cual ya no lo uso por pesado y algo extenso para montar buenas plantillas).. y otro con wordpress, más ligero, lo comprendo casi bien y más fácil de administración para el cliente.

Hay un plugin para cambiar de ruta de tu login, aunque sirve en algo, siempre te querran sabotear la web, lo más seguro un backup dejando 2 días o 1 vez a la semana, mi colaboradora dice que lo hace automatico, ni idea no estoy metido en esa área...
 
Hay algun modo de evitar que se suban shells a mi blog?
 
Hola RayBan :

Como te han dicho los colegas , esto deberás primero tomarlo con calma, porque asi salen las cosas y revisar por pasos y detenidamente el proceso de limpieza.

1 - Revisa tu PC, si estas infectado, te lo volverán a hacer cuando termines de arreglar todo porque tendrán tus contraseñas y el acceso a los archivos de tu disco.
2 - Pidele a la empresa que contratas, que intente investigar cual fue la IP que ingreso por vulnerabilidad u otra forma a tu host para "hackearte" tus blogs o lo que tengas.
3 - Si el paso 1 no tiene resultados de troyanos, y el 2 te informan que fue un acceso por vulnerabilidad. Ya que no eres experto, deberas hacer un respaldo de tus archivos antes que nada, para tenerlo en tu pc.
4 - Puedes , para evitar la busqueda , resubir todos tus archivos nuevamente, y cuando lo hagas, REVISAR BIEN ! los permisos que le das a tus carpetas. Porque si tiene demasiados permisos alguna que no debe, se hara facil defacear la web.
5 - Una shell se puede ingresar o por algun plugin vulnerable o por alguna inyección que se pueda meter en tu host. Todo depende del script en el que trabajes y la seguridad en tu servidor. (Espero que hayas contratado con una empresa respetable ya que sino puede que te lo hagan varias veces).
6 - Me tiro a adivinar, si trabajas con wordpress es un gran script , ya que si tienes la ultima version sera complicado que alguien te haga daño, aunque se puede obviamente. Asi que repito REVISA LOS PERMISOS QUE LE DAS A TUS ARCHIVOS Y CARPETAS.
7 - Puedes hacerlo a lo DORA LA EXPLORADORA, y te pones a buscar en los archivos y alguno de ellos tiene algun codigo ingresado, la shell generalmente tiene nombres extraños, aunque a veces le ponen nombre normales para que no te des cuenta que están ahi (PERO ESTAN 😡)

Te recomiendo, que busques en google sobre como prevenir ataques en tu script o web. Todo se aprende probando en este mundo. Tal vez esto te ayude para que tengas experiencia en como poder prevenir el siguiente ataque.

Un saludo!
 
Sin demeritar el post anterior, hay otro vector de ataque que, aunque se mencionó, no se trató ampliamente.

También cabe la posibilidad de un troyano, pero no en la PC del usuario, si no un troyano en los archivos de WP. Esto quiere decir, que de manera voluntaria un usuario subió al sitio un archivo infectado(un theme es lo mas común). Después de 'cruzar las puertas de Troya', un atacante enterado puede entonces utilizar el archivo para tratar de compromete el sistema en el que se encuentra el 'caballo', o sea 'quemar Troya'. (Lo que pongo entre comillas es para obviar el significado del termino 'troyano', dentro del contexto del mito del caballo de Troya).

De hecho, mas que una vulnerabilidad o un 0day como se ha sugerido, el vector de ataque con un troyano hacía la instalación de WP por medio de un theme, es bastante común.

Sobre la pregunta que acaba de plantear Ray Ban, pues yo contestaría que si realmente el sitio es de importancia, se contrate o por lo menos se trate de realizar una auditoria de seguridad, sobre todo si se trata de un server VPS, especialmente aquellos que se anuncian como on the Cloud. Un server dedicado pues peor.... pero pues quien contrata un dedicado debería de tener una buena asesoría, incluida aquella acerca de seguridad, antes de hacer el gasto.

Obvio la auditoria de seguridad conlleva después un hardening, usando la información obtenida. Por ejemplo, un error básico que yo he visto en muchas instalaciones de WP es el uso de FTP, que es un protocolo bastante inseguro, sobre todo si corre en puertos estándares.

En conclusión, si realmente interesa la seguridad del sitio, se debe entonces conseguir a alguien (o algo) que ayude a asegurar el sitio.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Googleriano
Importante: Síndrome de Burnout o del home office: qué es y cómo prevenirlo
Respuestas
13
Visitas
374
paskuvan
paskuvan
David Morales
Cryptojacking: Cómo afecta tu dispositivo y cómo prevenirlo
Respuestas
5
Visitas
486
BotBeta
BotBeta
AntonioJose
¿Cuándo el CTR se convierte en un riesgo y cómo prevenirlo?
2
Respuestas
32
Visitas
3K
warne
W
E
Riesgos de bloqueo en Adsense y cómo prevenirlo
2
Respuestas
30
Visitas
3K
neburor
N
Atrás
Arriba