Me hackearon mis webs

jacc2011

Dseda
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
8 Mar 2020
Mensajes
1.046
Entran por la dirección de administración con ataques de fuerza bruta. Hay que siempre implementar políticas de seguridad, cambiar la dirección de administración, etc.
 

fa.luis

VIP
Épsilon
SEO
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
779
Gracias a todos, sigo revisando, aun no encuentro mucho, lo que acabo de encontrar fue lo siguiente en el directorio raiz doned estan todas las webs, esto coincide con la fecha en que modificaron los archivos, alguien sabe que significa? parece como si hubieran agregado un subdonio pero en mi cpanel no esta agregado, esto podria indicar que entraron al sitio por el Cpanel cierto?
1623332834732.png
 

fa.luis

VIP
Épsilon
SEO
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
779
Entran por la dirección de administración con ataques de fuerza bruta. Hay que siempre implementar políticas de seguridad, cambiar la dirección de administración, etc.
te refieres a la direccion de cpanel?
 

Renzo Manuel

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
14 Jul 2020
Mensajes
68
siempre hay que tener una copia de seguridad, por si acaso algo se va al garete.... hace poco le entro virus chino a mi web, como habia hecho una copia de seguridad de la base de datos y de las carpetas wordpress, solo me quedo borrar todo y restaurarlo y se arreglo xd.
 

chocolatepop

VIP
Beta
Marketing
Verificación en dos pasos desactivada
Verificado por Whatsapp
Usuario nuevo
¡Usuario con pocos negocios!
Desde
20 Abr 2021
Mensajes
112
¿entonces entraron por una web o por el admin del hosting?
 

fa.luis

VIP
Épsilon
SEO
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
779
¿entonces entraron por una web o por el admin del hosting?
Aun no se, pareciera que pudo ser por algun plugin, pero lo del subdominio que agregaron parece que entraron desde el cpanel, lo que he hecho ahora con banahosting es activar la autentificacion a 2 pasos para descartar que sea por el Cpanel, si siguen habiendo ataques entonces puede que sea por la web, ya con la autentificacion 2 pasos se supone no podrian entrar por cpanel ya que genero un codigo aleatorio con mi celular para iniciar sesion en cpanel
 

Carlos Frias

Ni
SysManager
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
6 Nov 2016
Mensajes
3.584
Hola, tengo varios sitios web alojados en banahosting, hoy me percate que 3 de ellos muestran contenido de webs de casinos, me meti a revisar y borraron los archivos de wordpress y pusieron HTML, el punto es que no se por donde se lograron meter y no se por donde empezar a limpiar, podrian aconsejarme?

Ver el archivo adjunto 538178

Este tipo de eventualidades sucede cuando el sitio web es vulnerable ya sea por estar desactualizado, tener plugins desactualizados, themes, tal vez nulled, sin soporte o fuera de las librerías del CMS (por ej de Wordpress) también puede ser por funciones fopen deprecated, contraseñas poco seguras entre muchas otras cosas más a tomar en cuenta

Puedes restaurar una copia de seguridad y luego ejecutar un escaneo completo, limpiar el folder "tmp" y decirle a bana que mate todos los procesos que son de tu usuario (hay amenazas que dejan procesos corriendo) luego proceder a tener precaución sobre todo lo que se te mencionó anteriormente
 

Programarte

Dseda
Programador
Verificado con videollamada
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
18 Nov 2014
Mensajes
1.028
Efectivamente como dice Carlos Frias, y como hemos observado con los clientes, estas vulnerabilidades se dan principalmente con temas relacionados directamente con WordPress, ya sea que le cuelan virus por los themes o que logran entrar a la administración, formularios etc.

Yo voy un alto porcentaje de probabilidad a este punto y muy bajo a que hayan entrado directamente al hosting.
 

David Morales

VIP
Ro
Influencer
Verificado con videollamada
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
7 Feb 2014
Mensajes
7.398
Aun no se, pareciera que pudo ser por algun plugin, pero lo del subdominio que agregaron parece que entraron desde el cpanel, lo que he hecho ahora con banahosting es activar la autentificacion a 2 pasos para descartar que sea por el Cpanel, si siguen habiendo ataques entonces puede que sea por la web, ya con la autentificacion 2 pasos se supone no podrian entrar por cpanel ya que genero un codigo aleatorio con mi celular para iniciar sesion en cpanel
Solucionaste o sigues con el problema?
 

aDriv4

Curioso
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
13 Feb 2020
Mensajes
8
ven al pm. puede ayudarte , se de vuln wordpress . posiblemente se de cual han vuln a tu web.
 

explorenew

Gamma
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
29 Sep 2019
Mensajes
437
seguro a traves de una vuln en algun plugin de wp.
 

fa.luis

VIP
Épsilon
SEO
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
779
Solucionaste o sigues con el problema?
No lo he solucionado porque no he encontrado la raiz, he cambiado las credenciales y he escaneado con algunas webs con el plugin que dejaste en el hilo y solo ha enontrado plugins sin actualizar, ningun virus, no se si con esta version de plugin este bien ya que el que me dieron por telegram no me funciono. Sigo entrando a ver los archivos y revisando si veo algo raro, he borrado varios sitios, de hecho tambien vi que se metieron a la base de datos y me modificaron los registros de una web de wordpress.
 

fa.luis

VIP
Épsilon
SEO
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
779
Este tipo de eventualidades sucede cuando el sitio web es vulnerable ya sea por estar desactualizado, tener plugins desactualizados, themes, tal vez nulled, sin soporte o fuera de las librerías del CMS (por ej de Wordpress) también puede ser por funciones fopen deprecated, contraseñas poco seguras entre muchas otras cosas más a tomar en cuenta

Puedes restaurar una copia de seguridad y luego ejecutar un escaneo completo, limpiar el folder "tmp" y decirle a bana que mate todos los procesos que son de tu usuario (hay amenazas que dejan procesos corriendo) luego proceder a tener precaución sobre todo lo que se te mencionó anteriormente
acabo de encontrar un archivo en la carpeta tmp que sirve para acceder a todos los sitios, borrar, renombrar archivos y navegar por todo el servidor pero no entiendo es como lo metieron, tiene fecha del 15 de mayo, basicamente es una shell que les permite ejecutar comandos y navegar por todo el servidor
1623472501682.png
 
Última edición:

Carlos Frias

Ni
SysManager
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
6 Nov 2016
Mensajes
3.584
acabo de encontrar un archivo en la carpeta tmp que sirve para acceder a todos los sitios, borrar, renombrar archivos y navegar por todo el servidor pero no entiendo es como lo metieron, tiene fecha del 15 de mayo, basicamente es una shell que les permite ejecutar comandos y navegar por todo el servidor
Ver el archivo adjunto 539464

Vulnerando el sitio web, logicamente xD se toman las precauciones...
 

fa.luis

VIP
Épsilon
SEO
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
779
Ahora la interrogante es donde jodidos esta la vulnerabilidad que los permitio meterse
1623471892303.png
 

fa.luis

VIP
Épsilon
SEO
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
779
Gracias, casualente ya lo detecta el antivirus de Bana, hace una hora no lo detectaba, no se si sera por que levante el ticket, igual lo pase por virustotal.com como dice @David Morales y no me lo detecto, ni mucho menos mi antivirus de computadora, dejo el codigo del archivo .php para efectos de investigacion por si alguien quiere probar si su servidor lo detecta como malicioso o algo por el estilo, solo deben guardarlo en .php y listo
 

David Morales

VIP
Ro
Influencer
Verificado con videollamada
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
7 Feb 2014
Mensajes
7.398
Gracias, casualente ya lo detecta el antivirus de Bana, hace una hora no lo detectaba, no se si sera por que levante el ticket, igual lo pase por virustotal.com como dice @David Morales y no me lo detecto, ni mucho menos mi antivirus de computadora, dejo el codigo del archivo .php para efectos de investigacion por si alguien quiere probar si su servidor lo detecta como malicioso o algo por el estilo, solo deben guardarlo en .php y listo
¿Qué analizaste con virus total exactamente?

Si fue el complemento o tema, Virus total no detecta todos los archivos maliciosos
y Si fue el sitio, hay muchos motivos por los cuales no lo detectaría, se oculta para bots, se muestra cada ciertos visitantes o simplemente la infección no estaba a nivel WP, sino superior y en WP solo muestra las redirecciones o lo que te salga

Para el Perfecto funcionamiento de Wordfence, debes de instalarlo al comienzo de tu sitio
Así Wordfence detectará quien realizo los cambios, podrá detenerlos o identificarlos

Si Wordfence se instala después de la infección no podrá ayudar de mucho si la infección ya se realizó sobre el nivel de WordPress
Pero si se instala antes de la infección, detectará la operación sospechosa, lo bloqueará y te advertirá.
 

David Morales

VIP
Ro
Influencer
Verificado con videollamada
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
7 Feb 2014
Mensajes
7.398
No lo he solucionado porque no he encontrado la raiz, he cambiado las credenciales y he escaneado con algunas webs con el plugin que dejaste en el hilo y solo ha enontrado plugins sin actualizar, ningun virus, no se si con esta version de plugin este bien ya que el que me dieron por telegram no me funciono. Sigo entrando a ver los archivos y revisando si veo algo raro, he borrado varios sitios, de hecho tambien vi que se metieron a la base de datos y me modificaron los registros de una web de wordpress.
¿El de Telegram porque no te funcionó, te dio un error?
 

Crea una cuenta o accede para comentar

Debes ser un miembro para poder comentar

Crear cuenta

Crea una cuenta en nuestra comunidad

Acceder

¿Ya tienes una cuenta? Accede aquí


Arriba