Me hackearon mis webs

  • Autor Autor fa.luis
  • Fecha de inicio Fecha de inicio
Entran por la dirección de administración con ataques de fuerza bruta. Hay que siempre implementar políticas de seguridad, cambiar la dirección de administración, etc.
 
Gracias a todos, sigo revisando, aun no encuentro mucho, lo que acabo de encontrar fue lo siguiente en el directorio raiz doned estan todas las webs, esto coincide con la fecha en que modificaron los archivos, alguien sabe que significa? parece como si hubieran agregado un subdonio pero en mi cpanel no esta agregado, esto podria indicar que entraron al sitio por el Cpanel cierto?
 
jacc2011 dijo:
Entran por la dirección de administración con ataques de fuerza bruta. Hay que siempre implementar políticas de seguridad, cambiar la dirección de administración, etc.
Hacer clic para expandir...
te refieres a la direccion de cpanel?
 
siempre hay que tener una copia de seguridad, por si acaso algo se va al garete.... hace poco le entro virus chino a mi web, como habia hecho una copia de seguridad de la base de datos y de las carpetas wordpress, solo me quedo borrar todo y restaurarlo y se arreglo xd.
 
¿entonces entraron por una web o por el admin del hosting?
 
chocolatepop dijo:
¿entonces entraron por una web o por el admin del hosting?
Hacer clic para expandir...
Aun no se, pareciera que pudo ser por algun plugin, pero lo del subdominio que agregaron parece que entraron desde el cpanel, lo que he hecho ahora con banahosting es activar la autentificacion a 2 pasos para descartar que sea por el Cpanel, si siguen habiendo ataques entonces puede que sea por la web, ya con la autentificacion 2 pasos se supone no podrian entrar por cpanel ya que genero un codigo aleatorio con mi celular para iniciar sesion en cpanel
 

Este tipo de eventualidades sucede cuando el sitio web es vulnerable ya sea por estar desactualizado, tener plugins desactualizados, themes, tal vez nulled, sin soporte o fuera de las librerías del CMS (por ej de Wordpress) también puede ser por funciones fopen deprecated, contraseñas poco seguras entre muchas otras cosas más a tomar en cuenta

Puedes restaurar una copia de seguridad y luego ejecutar un escaneo completo, limpiar el folder "tmp" y decirle a bana que mate todos los procesos que son de tu usuario (hay amenazas que dejan procesos corriendo) luego proceder a tener precaución sobre todo lo que se te mencionó anteriormente
 
Efectivamente como dice Carlos Frias, y como hemos observado con los clientes, estas vulnerabilidades se dan principalmente con temas relacionados directamente con WordPress, ya sea que le cuelan virus por los themes o que logran entrar a la administración, formularios etc.

Yo voy un alto porcentaje de probabilidad a este punto y muy bajo a que hayan entrado directamente al hosting.
 
Solucionaste o sigues con el problema?
 
ven al pm. puede ayudarte , se de vuln wordpress . posiblemente se de cual han vuln a tu web.
 
David Morales dijo:
Solucionaste o sigues con el problema?
Hacer clic para expandir...
No lo he solucionado porque no he encontrado la raiz, he cambiado las credenciales y he escaneado con algunas webs con el plugin que dejaste en el hilo y solo ha enontrado plugins sin actualizar, ningun virus, no se si con esta version de plugin este bien ya que el que me dieron por telegram no me funciono. Sigo entrando a ver los archivos y revisando si veo algo raro, he borrado varios sitios, de hecho tambien vi que se metieron a la base de datos y me modificaron los registros de una web de wordpress.
 
acabo de encontrar un archivo en la carpeta tmp que sirve para acceder a todos los sitios, borrar, renombrar archivos y navegar por todo el servidor pero no entiendo es como lo metieron, tiene fecha del 15 de mayo, basicamente es una shell que les permite ejecutar comandos y navegar por todo el servidor
 
Última edición:

Vulnerando el sitio web, logicamente xD se toman las precauciones...
 
Ahora la interrogante es donde jodidos esta la vulnerabilidad que los permitio meterse
 
Gracias, casualente ya lo detecta el antivirus de Bana, hace una hora no lo detectaba, no se si sera por que levante el ticket, igual lo pase por virustotal.com como dice @David Morales y no me lo detecto, ni mucho menos mi antivirus de computadora, dejo el codigo del archivo .php para efectos de investigacion por si alguien quiere probar si su servidor lo detecta como malicioso o algo por el estilo, solo deben guardarlo en .php y listo

Paste ofCode

paste.ofcode.org
 
¿Qué analizaste con virus total exactamente?

Si fue el complemento o tema, Virus total no detecta todos los archivos maliciosos
y Si fue el sitio, hay muchos motivos por los cuales no lo detectaría, se oculta para bots, se muestra cada ciertos visitantes o simplemente la infección no estaba a nivel WP, sino superior y en WP solo muestra las redirecciones o lo que te salga

Para el Perfecto funcionamiento de Wordfence, debes de instalarlo al comienzo de tu sitio
Así Wordfence detectará quien realizo los cambios, podrá detenerlos o identificarlos

Si Wordfence se instala después de la infección no podrá ayudar de mucho si la infección ya se realizó sobre el nivel de WordPress
Pero si se instala antes de la infección, detectará la operación sospechosa, lo bloqueará y te advertirá.
 
¿El de Telegram porque no te funcionó, te dio un error?
 
La raíz de tu problema está en este archivo xmlrpc.php bórralo o renombrarlo a mí me pasó lo mismo pero mi página la dejaron en japonés cuando Google entraba en backlink hacía página japonesa
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Me hackearon una web y me llenaron de visitas
Respuestas
7
Visitas
196
gifer
Malware en mi sitio web? lo hackearon?
2
Respuestas
23
Visitas
305
gifer
Le hackearon el correo a mi madre
2
Respuestas
20
Visitas
235
Wigao
Que paso con wp-script.com ? creo que lo hackearon
Respuestas
1
Visitas
84
4ngeluxpunk
  • Cerrado
Me ofrezco ¿Hackearon tu sitio web? Lo solucionamos ✅
Respuestas
4
Visitas
249
Naturalista
Menú
Acceder
Registro