Macario
Gamma
Verificación en dos pasos activada
Verificado por Whatsapp
Que tal compañeros, abro este hilo para contarles mi triste historia y ver si alguien me aconseja algo con respecto a mi situación.
Hace una semana quise emprender un nuevo proyecto web basado en wordpress, por lo que me puse manos a la obra y comencé a configurar mi nuevo sitio web. Compre una plantilla premium, adquirà un VPS para mejor velocidad de carga y en estos dÃas me encontraba retocando pequeños detalles del código HTML y CSS para personalizarlo mas a mi gusto, todo esto lo comencé el miércoles pasado y fue hasta ayer en la noche que termine de dejarlo como querÃa e incluso realice algunas entradas en mi web. Cual fue mi sorpresa cuando hoy al intentar entrar al panel de wordpress me salÃa un error de VestaCp (el cual utilizo para administrar los sitios del VPS) diciendo que no contaba con permisos para ingresar a la pagina, todas las entradas y paginas de mi web se podÃan ver, pero no tenia acceso a mi panel de WordPress, rápido corrà a revisar los archivos de la web con FileZilla y me puse pálido al ver que habÃa múltiples carpetas desconocidas y archivos extraños entre los archivos principales de wordpress, lamentablemente no les tome captura, pero en su mayorÃa eran archivos php y muchos con el nombre index, descargue algunos para analizarlos con el antivirus y ver su código, pues anteriormente una de mis webs fue hackeada y algunos archivos a pesar de ser código php, el antivirus los detectaba como una amenaza, lamentablemente o por suerte, no fueron detectados como virus y dentro de ellos todo el contenido estaba encriptado. En mi desesperación decidà formatear mi VPS pues pensaba en instalar todo de nuevo, descargue dos backups que hizo VestaCp por si quisiera restaurar mi web.
Algo curioso es que los últimos movimientos que se realizaron en mi web y que recibà en mi correo, fue el registro de dos usuarios, uno se registro el 30 y otro el 31 de enero, se suponÃa que tenia configurado wordpress para que nadie se registrase, pero el theme que utilizo si tenia una opción para que se registraran desde un botón del menú superior, yo elimine eso desde el código, pero no recuerdo si fue el dÃa 31 por la noche, por lo cual estos dos usuarios ya estaban registrados. Alguien sabe si al igual que el spam que se recibe en los comentarios de wordpress, también hay posibilidad de que se registren usuarios fantasmas?? Jamás me ha pasado que algún usuario se registre en mi web como una especie de spam. Pues si no es esto que mencione, entonces muy posiblemente si sean quienes hackearon mi web 🤧.
Recuerdan que les comente que descargue dos backup de vesta?, pues resulta que uno de ellos se genero el dÃa 31 por la noche, por lo que estos individuos ya estaban en mi web y en efecto, ya lo estaban. Revisando los archivos del backup, en los archivos principales de wordpress, estaba esto pequeño archivo html:
Como pueden ver, ese archivo "bel.html" fue creado ese mismo dÃa, el 31 de Enero, asi que siendo el único archivo que generaron antes de destrozar mi web, decidà darle un vistazo, primero abrà el código para evitar encontrarme con una mala sorpresa y esto es lo que estaba en su interior:
Desde aquà ya podemos ver que es un grupo de Indonesia y que les encanta dejar su huella en cada ataque que realizan.
Si abrimos directamente el html con un explorador, esto es lo que tenemos:
Muy bonito, muy bonito.
Para los que ya vieron el código, primero nos manda un mensaje diciendo "Hola Mundo", posteriormente nos entrega el enlace de un sitio donde se publican todas las webs que han vulnerado y me parece que utilizan este archivo html para confirmar que aun lo estén.
Lamentablemente mi web si estaba entre las afectadas 😥.
De la chica que sale en la imagen de fondo, al parecer se llama AMBIYAHH y al parecer es como la Belle Delphine de Indonesia o eso creo, la verdad no investigue más.
Para los que se pregunten que contiene el mp3 que esta en el código, simplemente es la canción "Write this down"
Al menos podemos decir que tienen sentido del humor.
En fin, hasta qui mi historia, agradecerÃa de todo corazon si algún experto en estos temas me pueda aconsejar el que hacer, no se si abandonar mi dominio, si cambiar mi VPS, pues probablemente ya tengan la IP o que hacer. Saben si realmente esos dos usuarios que se registraron en mi web fueron quienes me hackearon?, es realmente posible hacerlo de esa forma, lo que me da miedo es que estén metidos en mi Pc o algo similar 😥.
De antemano, muchas gracias.
Hace una semana quise emprender un nuevo proyecto web basado en wordpress, por lo que me puse manos a la obra y comencé a configurar mi nuevo sitio web. Compre una plantilla premium, adquirà un VPS para mejor velocidad de carga y en estos dÃas me encontraba retocando pequeños detalles del código HTML y CSS para personalizarlo mas a mi gusto, todo esto lo comencé el miércoles pasado y fue hasta ayer en la noche que termine de dejarlo como querÃa e incluso realice algunas entradas en mi web. Cual fue mi sorpresa cuando hoy al intentar entrar al panel de wordpress me salÃa un error de VestaCp (el cual utilizo para administrar los sitios del VPS) diciendo que no contaba con permisos para ingresar a la pagina, todas las entradas y paginas de mi web se podÃan ver, pero no tenia acceso a mi panel de WordPress, rápido corrà a revisar los archivos de la web con FileZilla y me puse pálido al ver que habÃa múltiples carpetas desconocidas y archivos extraños entre los archivos principales de wordpress, lamentablemente no les tome captura, pero en su mayorÃa eran archivos php y muchos con el nombre index, descargue algunos para analizarlos con el antivirus y ver su código, pues anteriormente una de mis webs fue hackeada y algunos archivos a pesar de ser código php, el antivirus los detectaba como una amenaza, lamentablemente o por suerte, no fueron detectados como virus y dentro de ellos todo el contenido estaba encriptado. En mi desesperación decidà formatear mi VPS pues pensaba en instalar todo de nuevo, descargue dos backups que hizo VestaCp por si quisiera restaurar mi web.
Algo curioso es que los últimos movimientos que se realizaron en mi web y que recibà en mi correo, fue el registro de dos usuarios, uno se registro el 30 y otro el 31 de enero, se suponÃa que tenia configurado wordpress para que nadie se registrase, pero el theme que utilizo si tenia una opción para que se registraran desde un botón del menú superior, yo elimine eso desde el código, pero no recuerdo si fue el dÃa 31 por la noche, por lo cual estos dos usuarios ya estaban registrados. Alguien sabe si al igual que el spam que se recibe en los comentarios de wordpress, también hay posibilidad de que se registren usuarios fantasmas?? Jamás me ha pasado que algún usuario se registre en mi web como una especie de spam. Pues si no es esto que mencione, entonces muy posiblemente si sean quienes hackearon mi web 🤧.
Recuerdan que les comente que descargue dos backup de vesta?, pues resulta que uno de ellos se genero el dÃa 31 por la noche, por lo que estos individuos ya estaban en mi web y en efecto, ya lo estaban. Revisando los archivos del backup, en los archivos principales de wordpress, estaba esto pequeño archivo html:
Como pueden ver, ese archivo "bel.html" fue creado ese mismo dÃa, el 31 de Enero, asi que siendo el único archivo que generaron antes de destrozar mi web, decidà darle un vistazo, primero abrà el código para evitar encontrarme con una mala sorpresa y esto es lo que estaba en su interior:
Desde aquà ya podemos ver que es un grupo de Indonesia y que les encanta dejar su huella en cada ataque que realizan.
Si abrimos directamente el html con un explorador, esto es lo que tenemos:
Muy bonito, muy bonito.
Para los que ya vieron el código, primero nos manda un mensaje diciendo "Hola Mundo", posteriormente nos entrega el enlace de un sitio donde se publican todas las webs que han vulnerado y me parece que utilizan este archivo html para confirmar que aun lo estén.
Lamentablemente mi web si estaba entre las afectadas 😥.
De la chica que sale en la imagen de fondo, al parecer se llama AMBIYAHH y al parecer es como la Belle Delphine de Indonesia o eso creo, la verdad no investigue más.
Para los que se pregunten que contiene el mp3 que esta en el código, simplemente es la canción "Write this down"
Al menos podemos decir que tienen sentido del humor.
En fin, hasta qui mi historia, agradecerÃa de todo corazon si algún experto en estos temas me pueda aconsejar el que hacer, no se si abandonar mi dominio, si cambiar mi VPS, pues probablemente ya tengan la IP o que hacer. Saben si realmente esos dos usuarios que se registraron en mi web fueron quienes me hackearon?, es realmente posible hacerlo de esa forma, lo que me da miedo es que estén metidos en mi Pc o algo similar 😥.
De antemano, muchas gracias.
