Ayuda con hackeo en mi red de blogs

Diandra84 · 2013-08-12T08:20:31-0500

¡Saludos betas!

Ante todo pido disculpas porque no sé si esto está bien puesto aquí pero por eso solicito que de no ser así, algún moderador lo coloque correctamente.

Mi consulta es sobre una red de blogs que tengo que me han hackeado y no sé qué hacer para resolverlo. El hackeo, hacker o lo que sea se hace llamar WildClique alguien sabe algo de esto? Muchas gracias de antemano.

DLDamian · 2013-08-12T08:44:33-0500

Dile a tu proveedor de hosting que te den una copia del ultimo backup y que te lo restauren, si no eliminaron nada solo avisales que te den nueva contraseña y que te digan por donde entraron

genako · 2013-08-12T08:46:37-0500

Podrías aclarar un poco cual es el problema? Qué es lo que te han hecho? Cómo sabes que te han hackeado y que consecuencias tiene?

Julio · 2013-08-12T08:52:16-0500

Te metieron algun virus? te quitaron el acceso a las paginas o que fue lo que especificamente te hicieron ?

Diandra84 · 2013-08-12T08:56:30-0500

¡Hola compañeros!

Pues no puedo acceder ni nada. Estoy con mi equipo tratando una solución y sí ha sido del hosting puesto que pasa lo mismo en todos los blogs. Muchas gracias de veras por las respuestas.

Julio · 2013-08-12T09:08:00-0500

pues contacta de inmediato con el hosting para informarles, y aguas si ahi mismo tienes la administración de los dominios, no los vaya a transferir a alguien mas

monchowebs · 2013-08-12T11:30:46-0500

Yo avisaria al hosting ellos deven tener un backup.

S3L3N1TY · 2013-08-12T11:37:54-0500

Puffff que faena ¿tenías el mismo pass y configuración en todos los blogs?

OsKaR · 2013-08-12T11:47:01-0500

[MENTION=19798]Diandra84[/MENTION] yo antes de nada haría una copia tanto de FTP como MYSQL, luego restauraría los archivos con una copia nueva de WP, y por ultimo, me pensaría cambiar de empresa a una mejor.

Mcalderon · 2013-08-12T11:47:18-0500

Diandra84 dijo:
¡Hola compañeros!

Pues no puedo acceder ni nada. Estoy con mi equipo tratando una solución y sí ha sido del hosting puesto que pasa lo mismo en todos los blogs. Muchas gracias de veras por las respuestas.

son varios blogs en una cuenta? o son en distintas cuentas con distintas pass?

WindHack · 2013-08-12T11:48:04-0500

Bueno, eso se llama un Mass-defacement. Sólo queda restaurar o decirle a tu hosting que te cargue las copias de los archivos.

---------- Post agregado el 12-ago-2013 hora: 11:50 ----------

Es decir, rootearon el servidor, consiguieron acceder totalmente a él y luego defacearon a todos los sitios que estaban en él. Común en servidores compartidos.

Ahí están las notificaciones.
WildClique | Zone-H.org

Mcalderon · 2013-08-12T11:50:57-0500

WindHack dijo:
Bueno, eso se llama un Mass-defacement. Sólo queda restaurar o decirle a tu hosting que te cargue las copias de los archivos.

Pero depende, es dificil hacer un mass, bien si tiene todos en una cuenta multi-dominio pudo ser una shell porque le daria acceso a la raiz y de ahi meterse a las otras carpetas.

WindHack · 2013-08-12T11:52:17-0500

Mcalderon dijo:
Pero depende, es dificil hacer un mass, bien si tiene todos en una cuenta multi-dominio pudo ser una shell porque le daria acceso a la raiz y de ahi meterse a las otras carpetas.

Por eso, si haces un mass-defacement, significa que consigues acceso root, para ello usas una shell y luego ejecutas un exploit que eleve los privilegios.

Mcalderon · 2013-08-12T11:54:50-0500

WindHack dijo:
Por eso, si haces un mass-defacement, significa que consigues acceso root, para ello usas una shell y luego ejecutas un exploit que eleve los privilegios.

Pero es difícil hacer un mass, además cuando lo hacen suelen poner un index a todos los clientes. Lo mas probable que la shell fuera destinada a su cuenta solamente.

WindHack · 2013-08-12T12:00:10-0500

Mcalderon dijo:
Pero es difícil hacer un mass, además cuando lo hacen suelen poner un index a todos los clientes. Lo mas probable que la shell fuera destinada a su cuenta solamente.

¿Revisaste las notificaciones en Zone-H?
Ha hecho varios Mass en fechas seguidas y en servidores distintos.

Si haces un mass en un compartido y logras rootearlo accedes a todas las páginas presentes en él, independiente de si es X o Y usuario. Esto pasa a menudo en servidores con un kernel algo antiguo, los últimos servidores que he visto y a los que he accedido por shell tienen kernel mucho más actuales y que no cuentan con exploit para subir privilegios.

housedir · 2013-08-12T12:03:42-0500

Deberías explicar mejor la situación, puedes ver tus webs o hubieron cambios? Te borraron los archivos? Puedes acceder al cpanel? Si puedes acceder al cpanel, vas a la base de datos de cada web y cambias la contraseña para poder acceder de nuevo a los blogs

Diandra84 · 2013-08-12T12:08:48-0500

Ya hemos avisado al hosting. Muchas gracias por la atención compañeros. La verdad es que jamás entenderé porque hay personas que se dedican a hacer este tipo de cosas por la red. Gracias de nuevo

Mcalderon · 2013-08-12T12:09:43-0500

WindHack dijo:
¿Revisaste las notificaciones en Zone-H?
Ha hecho varios Mass en fechas seguidas y en servidores distintos.

Si haces un mass en un compartido y logras rootearlo accedes a todas las páginas presentes en él, independiente de si es X o Y usuario. Esto pasa a menudo en servidores con un kernel algo antiguo, los últimos servidores que he visto y a los que he accedido por shell tienen kernel mucho más actuales y que no cuentan con exploit para subir privilegios.

Si, pero no cualquier rootea un servidor.

Además para estar seguros debemos saber si solo sucedió a su cuenta y si sus cuentas están en distintos hostings o en el mismo pero en distintas cuentas. También si usa las mismas pass en todos los blogs.

No digo que no pueda ser un rooteo al server, pero me parece un tanto mas probable que solo sea a su cuenta.

WindHack · 2013-08-12T12:12:12-0500

Mcalderon dijo:
Si, pero no cualquier rootea un servidor.

Además para estar seguros debemos saber si solo sucedió a su cuenta y si sus cuentas están en distintos hostings o en el mismo pero en distintas cuentas. También si usa las mismas pass en todos los blogs.

No digo que no pueda ser un rooteo al server, pero me parece un tanto mas probable que solo sea a su cuenta.

La mejor forma de comprobar si fue rooteo al servidor o sólo a su cuenta sería mediante un Reverse IP: Reverse IP Lookup - Find Other Web Sites Hosted on a Web Server

Si todos los dominios aparecen con señales de deface, fue un mass, caso contrario simplemente subió la shell y accedió a su hosting y desde allí cambió todo.

hijodeDios · 2013-08-12T19:33:00-0500

Estos muchachos son un fastidio para la comunidad, que ganan haciendo esto.