Me hackearon mis webs

jacc2011

jacc2011

1
Mi
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Suscripción a IA
Desde
8 Mar 2020
Mensajes
3.478
Entran por la dirección de administración con ataques de fuerza bruta. Hay que siempre implementar políticas de seguridad, cambiar la dirección de administración, etc.
 
fa.luis

fa.luis

Épsilon
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
812
Gracias a todos, sigo revisando, aun no encuentro mucho, lo que acabo de encontrar fue lo siguiente en el directorio raiz doned estan todas las webs, esto coincide con la fecha en que modificaron los archivos, alguien sabe que significa? parece como si hubieran agregado un subdonio pero en mi cpanel no esta agregado, esto podria indicar que entraron al sitio por el Cpanel cierto?
1623332834732.png
 
fa.luis

fa.luis

Épsilon
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
812
jacc2011 dijo:
Entran por la dirección de administración con ataques de fuerza bruta. Hay que siempre implementar políticas de seguridad, cambiar la dirección de administración, etc.
Hacer clic para expandir...
te refieres a la direccion de cpanel?
 
Renzo Manuel

Renzo Manuel

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
14 Jul 2020
Mensajes
128
siempre hay que tener una copia de seguridad, por si acaso algo se va al garete.... hace poco le entro virus chino a mi web, como habia hecho una copia de seguridad de la base de datos y de las carpetas wordpress, solo me quedo borrar todo y restaurarlo y se arreglo xd.
 
CMY Academy

CMY Academy

Dseda
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario popular!
Desde
20 Abr 2021
Mensajes
1.069
¿entonces entraron por una web o por el admin del hosting?
 
fa.luis

fa.luis

Épsilon
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
812
chocolatepop dijo:
¿entonces entraron por una web o por el admin del hosting?
Hacer clic para expandir...
Aun no se, pareciera que pudo ser por algun plugin, pero lo del subdominio que agregaron parece que entraron desde el cpanel, lo que he hecho ahora con banahosting es activar la autentificacion a 2 pasos para descartar que sea por el Cpanel, si siguen habiendo ataques entonces puede que sea por la web, ya con la autentificacion 2 pasos se supone no podrian entrar por cpanel ya que genero un codigo aleatorio con mi celular para iniciar sesion en cpanel
 
Carlos Frias

Carlos Frias

1
Ro
SysManager
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
¡Usuario popular!
Suscripción a IA
Desde
6 Nov 2016
Mensajes
7.746
fa.luis dijo:
Hola, tengo varios sitios web alojados en banahosting, hoy me percate que 3 de ellos muestran contenido de webs de casinos, me meti a revisar y borraron los archivos de wordpress y pusieron HTML, el punto es que no se por donde se lograron meter y no se por donde empezar a limpiar, podrian aconsejarme?

Ver el archivo adjunto 538178
Hacer clic para expandir...

Este tipo de eventualidades sucede cuando el sitio web es vulnerable ya sea por estar desactualizado, tener plugins desactualizados, themes, tal vez nulled, sin soporte o fuera de las librerías del CMS (por ej de Wordpress) también puede ser por funciones fopen deprecated, contraseñas poco seguras entre muchas otras cosas más a tomar en cuenta

Puedes restaurar una copia de seguridad y luego ejecutar un escaneo completo, limpiar el folder "tmp" y decirle a bana que mate todos los procesos que son de tu usuario (hay amenazas que dejan procesos corriendo) luego proceder a tener precaución sobre todo lo que se te mencionó anteriormente
 
Programarte

Programarte

Dseda
Programador
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
18 Nov 2014
Mensajes
1.093
Efectivamente como dice Carlos Frias, y como hemos observado con los clientes, estas vulnerabilidades se dan principalmente con temas relacionados directamente con WordPress, ya sea que le cuelan virus por los themes o que logran entrar a la administración, formularios etc.

Yo voy un alto porcentaje de probabilidad a este punto y muy bajo a que hayan entrado directamente al hosting.
 
David Morales

David Morales

Moderador
Sigma
Influencer
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
¡Usuario popular!
Suscripción a IA
Desde
7 Feb 2014
Mensajes
12.155
fa.luis dijo:
Aun no se, pareciera que pudo ser por algun plugin, pero lo del subdominio que agregaron parece que entraron desde el cpanel, lo que he hecho ahora con banahosting es activar la autentificacion a 2 pasos para descartar que sea por el Cpanel, si siguen habiendo ataques entonces puede que sea por la web, ya con la autentificacion 2 pasos se supone no podrian entrar por cpanel ya que genero un codigo aleatorio con mi celular para iniciar sesion en cpanel
Hacer clic para expandir...
Solucionaste o sigues con el problema?
 
aDriv4

aDriv4

Curioso
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
13 Feb 2020
Mensajes
9
ven al pm. puede ayudarte , se de vuln wordpress . posiblemente se de cual han vuln a tu web.
 
fa.luis

fa.luis

Épsilon
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
812
David Morales dijo:
Solucionaste o sigues con el problema?
Hacer clic para expandir...
No lo he solucionado porque no he encontrado la raiz, he cambiado las credenciales y he escaneado con algunas webs con el plugin que dejaste en el hilo y solo ha enontrado plugins sin actualizar, ningun virus, no se si con esta version de plugin este bien ya que el que me dieron por telegram no me funciono. Sigo entrando a ver los archivos y revisando si veo algo raro, he borrado varios sitios, de hecho tambien vi que se metieron a la base de datos y me modificaron los registros de una web de wordpress.
 
fa.luis

fa.luis

Épsilon
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
812
Carlos Frias dijo:
Este tipo de eventualidades sucede cuando el sitio web es vulnerable ya sea por estar desactualizado, tener plugins desactualizados, themes, tal vez nulled, sin soporte o fuera de las librerías del CMS (por ej de Wordpress) también puede ser por funciones fopen deprecated, contraseñas poco seguras entre muchas otras cosas más a tomar en cuenta

Puedes restaurar una copia de seguridad y luego ejecutar un escaneo completo, limpiar el folder "tmp" y decirle a bana que mate todos los procesos que son de tu usuario (hay amenazas que dejan procesos corriendo) luego proceder a tener precaución sobre todo lo que se te mencionó anteriormente
Hacer clic para expandir...
acabo de encontrar un archivo en la carpeta tmp que sirve para acceder a todos los sitios, borrar, renombrar archivos y navegar por todo el servidor pero no entiendo es como lo metieron, tiene fecha del 15 de mayo, basicamente es una shell que les permite ejecutar comandos y navegar por todo el servidor
1623472501682.png
 
Última edición:
Carlos Frias

Carlos Frias

1
Ro
SysManager
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
¡Usuario popular!
Suscripción a IA
Desde
6 Nov 2016
Mensajes
7.746
fa.luis dijo:
acabo de encontrar un archivo en la carpeta tmp que sirve para acceder a todos los sitios, borrar, renombrar archivos y navegar por todo el servidor pero no entiendo es como lo metieron, tiene fecha del 15 de mayo, basicamente es una shell que les permite ejecutar comandos y navegar por todo el servidor
Ver el archivo adjunto 539464
Hacer clic para expandir...

Vulnerando el sitio web, logicamente xD se toman las precauciones...
 
fa.luis

fa.luis

Épsilon
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
812
Ahora la interrogante es donde jodidos esta la vulnerabilidad que los permitio meterse
1623471892303.png
 
fa.luis

fa.luis

Épsilon
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
14 Abr 2020
Mensajes
812
Gracias, casualente ya lo detecta el antivirus de Bana, hace una hora no lo detectaba, no se si sera por que levante el ticket, igual lo pase por virustotal.com como dice @David Morales y no me lo detecto, ni mucho menos mi antivirus de computadora, dejo el codigo del archivo .php para efectos de investigacion por si alguien quiere probar si su servidor lo detecta como malicioso o algo por el estilo, solo deben guardarlo en .php y listo

Paste ofCode

paste.ofcode.org paste.ofcode.org
 
David Morales

David Morales

Moderador
Sigma
Influencer
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
¡Usuario popular!
Suscripción a IA
Desde
7 Feb 2014
Mensajes
12.155
fa.luis dijo:
Gracias, casualente ya lo detecta el antivirus de Bana, hace una hora no lo detectaba, no se si sera por que levante el ticket, igual lo pase por virustotal.com como dice @David Morales y no me lo detecto, ni mucho menos mi antivirus de computadora, dejo el codigo del archivo .php para efectos de investigacion por si alguien quiere probar si su servidor lo detecta como malicioso o algo por el estilo, solo deben guardarlo en .php y listo

Paste ofCode

paste.ofcode.org paste.ofcode.org
Hacer clic para expandir...
¿Qué analizaste con virus total exactamente?

Si fue el complemento o tema, Virus total no detecta todos los archivos maliciosos
y Si fue el sitio, hay muchos motivos por los cuales no lo detectaría, se oculta para bots, se muestra cada ciertos visitantes o simplemente la infección no estaba a nivel WP, sino superior y en WP solo muestra las redirecciones o lo que te salga

Para el Perfecto funcionamiento de Wordfence, debes de instalarlo al comienzo de tu sitio
Así Wordfence detectará quien realizo los cambios, podrá detenerlos o identificarlos

Si Wordfence se instala después de la infección no podrá ayudar de mucho si la infección ya se realizó sobre el nivel de WordPress
Pero si se instala antes de la infección, detectará la operación sospechosa, lo bloqueará y te advertirá.
 
David Morales

David Morales

Moderador
Sigma
Influencer
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
¡Usuario popular!
Suscripción a IA
Desde
7 Feb 2014
Mensajes
12.155
fa.luis dijo:
No lo he solucionado porque no he encontrado la raiz, he cambiado las credenciales y he escaneado con algunas webs con el plugin que dejaste en el hilo y solo ha enontrado plugins sin actualizar, ningun virus, no se si con esta version de plugin este bien ya que el que me dieron por telegram no me funciono. Sigo entrando a ver los archivos y revisando si veo algo raro, he borrado varios sitios, de hecho tambien vi que se metieron a la base de datos y me modificaron los registros de una web de wordpress.
Hacer clic para expandir...
¿El de Telegram porque no te funcionó, te dio un error?
 
V

victor19902689

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
4 May 2013
Mensajes
516
La raíz de tu problema está en este archivo xmlrpc.php bórralo o renombrarlo a mí me pasó lo mismo pero mi página la dejaron en japonés cuando Google entraba en backlink hacía página japonesa
 

¡Regístrate y comienza a ganar!

Beneficios

  • Gana dinero por participar
  • Gana dinero por recomendarnos
  • Descubre ofertas de empleo diariamente
  • Negocios seguros
  • ¡Información premium y más!
Registro

Acceder

¿Ya tienes una cuenta? Accede aquí

Arriba