Me hackearon mis webs

  • Autor Autor fa.luis
  • Fecha de inicio Fecha de inicio
Hola, da todos tus sitios por perdidos

¿La razón? Si se infectó una, se infectaron todos los archivos

Yo ya pasé por eso, todos mis sitios se comprometieron ya que no es un virus como tal, sino una vulnerabilidad de seguridad y tenían ya todo el servidor a su merced

Opté por bajar todas las DB y eliminar todo, ya que hay archivos ocultos pues no veía los archivos pero cuando los intenté descargar, mi computadora los detectó como maliciosos y los puso en cuarentena pero en el server no los veía por ningún lado

Y es correcto, el problema está en xmlrpc.php

A mi me funcionó bajar el Plugin de límite attemps o como se escriba, el hide login page y el captcha de Google

También bajé un inhabilitador de xmlrpc.php peeeero es necesario para que Google Noticias acceda a este

Por cierto ¿Tus páginas son de noticias? Porque curiosamente intentan forzar la entrada solo a mis sitios de noticias 🤔

Si necesitas ayuda con algo, te puedo ayudar, la neta es un castre estar en esa
situación

Por cierto, mejora la seguridad, ya que al menos conmigo siguen intentado acceder
 
También recuerda, todo aparato conectado a la red, puede ser víctima de un ataque, independientemente del proveedor de alojamiento y también toma en cuenta que un servidor es como rentar una casa, el dueño de que toda la casa no presente riesgos de caída, pero el que se encarga de la seguridad, eres tú

En mi caso, fue en Contabo, pero puede suceder en cualquier sitio
 
Por mucho que restaures una copia de seguridad, si usas nulled, siempre tendrás el problema, ya que tienes una puerta abierta siempre. Mi consejo: borra todo y comienza de nuevo con themes y plugins no nulled.
 
Akatzia dijo:
Hola, da todos tus sitios por perdidos

¿La razón? Si se infectó una, se infectaron todos los archivos

Yo ya pasé por eso, todos mis sitios se comprometieron ya que no es un virus como tal, sino una vulnerabilidad de seguridad y tenían ya todo el servidor a su merced

Opté por bajar todas las DB y eliminar todo, ya que hay archivos ocultos pues no veía los archivos pero cuando los intenté descargar, mi computadora los detectó como maliciosos y los puso en cuarentena pero en el server no los veía por ningún lado

Y es correcto, el problema está en xmlrpc.php

A mi me funcionó bajar el Plugin de límite attemps o como se escriba, el hide login page y el captcha de Google

También bajé un inhabilitador de xmlrpc.php peeeero es necesario para que Google Noticias acceda a este

Por cierto ¿Tus páginas son de noticias? Porque curiosamente intentan forzar la entrada solo a mis sitios de noticias 🤔

Si necesitas ayuda con algo, te puedo ayudar, la neta es un castre estar en esa
situación

Por cierto, mejora la seguridad, ya que al menos conmigo siguen intentado acceder
Hacer clic para expandir...

Lo de eliminar todo es algo muy rudo, yo le diría al usuario que pague un servicio de desinfección y seguridad, para ello habemos muchas personas en el foro, el abrir un tema no significa que vayamos a publicar un tutorial o un libro de cómo resolver cada cosa, para ello esta Google. Pero las cosas no se quedan en solo consejos, es cuestión de darle de comer a otras personas y de cierta manera garantizar que esto no pase tan fácil
 
1623534641780.png


1623534771392.webp


El test fue realizado a un cliente mediante el VMR trial de qualys

Wordpress es un sin fin de inseguridad, a parchear se ha dicho 😛
 
Lo que he descubierto hasta el momento es:
El 9 de Mayo descargue el Plugin Viral Quiz Nulled, de una pagina rusa (https://prowebber.ru/wordpress-cat/...-v317-plagin-viktorin-i-testov-wordpress.html)

Desde que lo instale empece a notar cosas, raras por ejemplo cuando estaba en el admin del sitio, cada que me queria mover a cualquier otro menu o seccion del panel de control de wordpress el sistema te preguntaba si querias dejar la pagina o permanecer en ella, (Como cuando la pagina esta trabajando en algun proceso y cuando intentas salir te pregunta si deseas abandonarla)


Dias despues uno de mis sitios se veian en blanco. Alrededor de una semana o 2 despues, quite ese plugin, y lo que hice due comprarlo como GPL en otro sitio. Sien embargo no verifique si había modificado algo en mi servidor.

Despues de borrar el plugin y poner el que habia comprado, todo regreso a la normalidad, podia moverme sin ningun problema por el admin de wordpress.

Todo sigui tranquilo hasta hace unos dias que me desperte y varios sitios habian sido hackeados, asumo que fue porque el anterior plugin ya habia dejado infectado varios sitios, es decir, dejo la shell en varios directorios, la cual le daba acceso completo al servidor.

Ayer revise todo lo que se habia modificado, y la fecha en la que se subio la shell en todos los directorios fue el 15 de Mayo, 6 dias despues de haber instalado el plugin de la pagina rusa.

La shell se llama fr.php en todos los directorios y como no sabia en que mas directorios o subdirectorios se encontraba decidi hacer una busqueda mediante la consola de comando Linux en mi servidor buscando archivos que coincidan con ese nombre y encontre un sinfin de directorios incluso directorios del sistema donde se encontraba esta shell:
1623616440666.png



1623616472874.png


De hecho tambien busque sentencias de codigo de la shell en todos los archivos, es decir no solo el fr.php, le dije al sistema que buscara en todos los archivos y directorios que tuvieran el siguiente codigo, es decir el nombre del atacante, y encontre varios
1623616587947.png


Todos los archivos encontrados han sido ya borrados, ademas como se puede ver en una de las captura de pantalla el plugin tiene en un directorio el archivo fr.php pero he revisado el archivo correspondiente en los plugins, tanto en el de la pagina rusa como en el que compre GPL y ninguno de los 2 tiene codigo de la shell y no se ve nada sospechoso, parece que es configuracion de lenguaje de hecho en ese directorio hay archivos para todos los lenguajes.
1623616720517.png


Lo que significa que sigo sin encontrar como rayos es que entraron, es decir creo tener identificado el plugin pero en sus archivos no encuentro el codigo o la shell, de hech tengo el .ZIP del plugin nulled que es el que les acabo dejar en el Link de la pagina rusa por si alguien quiere jugar con el xD.

Lo que se me ocurre es instalarme el plugin nulled en otro servidor en una web que no uso, algo como lo que hizo @David Morales he infectarme a propositio y dejarlo ahi para ver si el atacante sube una shell nueamente y entonces si estar completamente seguro que esta era la vulnerabilidad ademas de revisar los logs.
Lamentablemente por cuestiones de trabajo y personales no tengo el tiempo suficiente para encontrar de donde provien penetración ya que tengo otras 10mil cosas pendientes por hacer 🙁

Por cierto, tambien renombre los archivos de wordpress xmlrpc.php que menciona @victor19902689 y @Akatzia el cual estuve leyendo y resulta ser que si son un problema de seguridad, no entiendo porque wordpress los sigue poniendo en sus archivos pero bueno.
 
fa.luis dijo:
Lo que he descubierto hasta el momento es:
El 9 de Mayo descargue el Plugin Viral Quiz Nulled, de una pagina rusa (https://prowebber.ru/wordpress-cat/...-v317-plagin-viktorin-i-testov-wordpress.html)

Desde que lo instale empece a notar cosas, raras por ejemplo cuando estaba en el admin del sitio, cada que me queria mover a cualquier otro menu o seccion del panel de control de wordpress el sistema te preguntaba si querias dejar la pagina o permanecer en ella, (Como cuando la pagina esta trabajando en algun proceso y cuando intentas salir te pregunta si deseas abandonarla)


Dias despues uno de mis sitios se veian en blanco. Alrededor de una semana o 2 despues, quite ese plugin, y lo que hice due comprarlo como GPL en otro sitio. Sien embargo no verifique si había modificado algo en mi servidor.

Despues de borrar el plugin y poner el que habia comprado, todo regreso a la normalidad, podia moverme sin ningun problema por el admin de wordpress.

Todo sigui tranquilo hasta hace unos dias que me desperte y varios sitios habian sido hackeados, asumo que fue porque el anterior plugin ya habia dejado infectado varios sitios, es decir, dejo la shell en varios directorios, la cual le daba acceso completo al servidor.

Ayer revise todo lo que se habia modificado, y la fecha en la que se subio la shell en todos los directorios fue el 15 de Mayo, 6 dias despues de haber instalado el plugin de la pagina rusa.

La shell se llama fr.php en todos los directorios y como no sabia en que mas directorios o subdirectorios se encontraba decidi hacer una busqueda mediante la consola de comando Linux en mi servidor buscando archivos que coincidan con ese nombre y encontre un sinfin de directorios incluso directorios del sistema donde se encontraba esta shell:
Ver el archivo adjunto 540267


Ver el archivo adjunto 540271

De hecho tambien busque sentencias de codigo de la shell en todos los archivos, es decir no solo el fr.php, le dije al sistema que buscara en todos los archivos y directorios que tuvieran el siguiente codigo, es decir el nombre del atacante, y encontre varios
Ver el archivo adjunto 540272

Todos los archivos encontrados han sido ya borrados, ademas como se puede ver en una de las captura de pantalla el plugin tiene en un directorio el archivo fr.php pero he revisado el archivo correspondiente en los plugins, tanto en el de la pagina rusa como en el que compre GPL y ninguno de los 2 tiene codigo de la shell y no se ve nada sospechoso, parece que es configuracion de lenguaje de hecho en ese directorio hay archivos para todos los lenguajes.
Ver el archivo adjunto 540275

Lo que significa que sigo sin encontrar como rayos es que entraron, es decir creo tener identificado el plugin pero en sus archivos no encuentro el codigo o la shell, de hech tengo el .ZIP del plugin nulled que es el que les acabo dejar en el Link de la pagina rusa por si alguien quiere jugar con el xD.

Lo que se me ocurre es instalarme el plugin nulled en otro servidor en una web que no uso, algo como lo que hizo @David Morales he infectarme a propositio y dejarlo ahi para ver si el atacante sube una shell nueamente y entonces si estar completamente seguro que esta era la vulnerabilidad ademas de revisar los logs.
Lamentablemente por cuestiones de trabajo y personales no tengo el tiempo suficiente para encontrar de donde provien penetración ya que tengo otras 10mil cosas pendientes por hacer 🙁

Por cierto, tambien renombre los archivos de wordpress xmlrpc.php que menciona @victor19902689 y @Akatzia el cual estuve leyendo y resulta ser que si son un problema de seguridad, no entiendo porque wordpress los sigue poniendo en sus archivos pero bueno.
Hacer clic para expandir...
Las cosas raras que notaste pudieron ser incompatibilidad con otro plugin o el tema, no necesariamente una infección, usualmente son más discretas que eso

Si tienes el zip original que instalaste podría testearlo para ver si es posible que sea el culpable

El que actualmente está en la web que marcaste supongo es otra versión diferente a la que instalaste

Si tienes el zip original que crees fue el motivo de infección podría revisarlo
 
David Morales dijo:
Las cosas raras que notaste pudieron ser incompatibilidad con otro plugin o el tema, no necesariamente una infección, usualmente son más discretas que eso

Si tienes el zip original que instalaste podría testearlo para ver si es posible que sea el culpable

El que actualmente está en la web que marcaste supongo es otra versión diferente a la que instalaste

Si tienes el zip original que crees fue el motivo de infección podría revisarlo
Hacer clic para expandir...

Plugin sospechoso (NULLED) https://we.tl/t-XT7RvkcaYV el cual habia bajado de la pagina rusa <--sospechoso

Y el Plugin, seguro, comprado GPL y el cual no creo que tenga infección:
we.tl

j608-cx-codecanyon-wordpress-viral-quiz-buzzfeed-quiz-builder.4.06.zip

1 file sent via WeTransfer, the simplest way to send your files around the world
we.tl we.tl
<-seguro
 
fa.luis dijo:
BANAHOSTING solo me a dicho que mi cuenta fue comprometida, que scanee mi sitio, y que cambie mis datos XD, estoy sguiendo el tutorial de @David Morales ( https://forobeta.com/temas/eliminar-virus-de-wordpress-con-wordfence-premium.754756/ ) de como eliminar un virus, ya instale el wordefence y scanie varios plugins q tengo y no sale que tenga virus. El punto es que quiero saber de donde fue originada la penetración y simplemente no lo encuentro, no se como los atacantes se pasaron de un sitio a otro.
Hacer clic para expandir...

Para sitios infectados nada como https://wpmudev.com/project/wp-defender/

Te escanea todos los archivos y te limpia el sitio.

Es de pago pero pilla la prueba gratuita, usa el plugin, da de baja la prueba gratuita y a disfrutar.
 
Experto SEO Perú dijo:
es la de wp-defender?
Hacer clic para expandir...
Es un script que te permite ver, editar o eliminar cualquier archivo en tu servidor, también permite subir archivos, es el primer paso y la entrada para agregar mas vulnerabilidades y puntos de acceso.

Existen cientos de versiones, la idea original en si es super vieja.
1623620908322.png

una busqueda rapida y encontre esta
 
Chicos y a todo esto, como puedo limpiar un plugin o theme gpl amtes de subirlo a una web o sersiorarme de que estos q se descargan de internet estan limpios de virus.

¿Como puedo limpiar un plugind e virus antes de subirlo a mi web?
 
Experto SEO Perú dijo:
Chicos y a todo esto, como puedo limpiar un plugin o theme gpl amtes de subirlo a una web o sersiorarme de que estos q se descargan de internet estan limpios de virus.

¿Como puedo limpiar un plugind e virus antes de subirlo a mi web?
Hacer clic para expandir...
Pues popularmente ese codigo malicioso esta ofuscado de alguna forma, si ves codigo inentendible seguramente se trate de eso, viene acompañado de funciones como eval(), base64_encode|decode(), prácticamente si ves texto sin ningún sentido es altamente probable que sea codigo malicioso, un ejemplo (uno de miles que se podrían dar):

1623622211358.webp


Cualquier antivirus actual te detecta ese codigo sin problemas, pero si no tienes experiencia te puede resultar difícil ya que estas puertas traseras usan funciones nativas de php, si no estan ofuscadas son difíciles de identificar, cuando se hace de esta forma puedes camuflar mejor o incluso reutilizar funciones nativas del plugin/theme original de tal forma que sea mas difícil identificar, los mas sencillo es simplemente instalar de fuentes oficiales y de extrema confianza.
 
Creo que llegó el momento de ofrecer tus propio sitio de recursos GPL Seguros, sacados de una de las mejores fuentes que he visto.
 
yo tengo un problema parecido solo que el mio cambian el db en el wp-config.php le escribo a soporte de banahosting y solo me dicen usa el jetpack y restaura tus copias ya es la segunda vez que me pasa y no me dan solucion definitiva. / solo afecta a mi woocomerce.. mis otras web andan sin problema
 
Última edición:
Debe ser ampliamente conocido que todo nulled es una trampa una vía u otra.
 
Última edición:
thegreen dijo:
yo tengo un problema parecido solo que el mio cambian el db en el wp-config.php le escribo a soporte de banahosting y solo me dicen usa el jetpack y restaura tus copias ya es la segunda vez que me pasa y no me dan solucion definitiva. / solo afecta a mi woocomerce.. mis oras web andan sin problema
Hacer clic para expandir...
Me dijeron lo mismo xD
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

tm1212004
Me hackearon una web y me llenaron de visitas
Respuestas
7
Visitas
196
gifer
gifer
zitmit
Malware en mi sitio web? lo hackearon?
2
Respuestas
23
Visitas
305
gifer
gifer
JoseDev
Le hackearon el correo a mi madre
2
Respuestas
20
Visitas
234
Wigao
Wigao
tapia123
Que paso con wp-script.com ? creo que lo hackearon
Respuestas
1
Visitas
83
4ngeluxpunk
4ngeluxpunk
Naturalista
  • Cerrado
Me ofrezco ¿Hackearon tu sitio web? Lo solucionamos ✅
Respuestas
4
Visitas
249
Naturalista
Naturalista
Atrás
Arriba