Mi sitio wordpress hackeado: un vistazo a la vulnerabilidad

  • Autor Autor axkarx
  • Fecha de inicio Fecha de inicio
axkarx

axkarx

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Hola

resulta que esta mañana ingrese a un sitio wordpress que tengo, para trabajar en el como hago cada dos o tres dias y al ingresar me encuentro con esto

sankalpjeans | CLOTHING ZONE…..

ese no es mi blog, pero sufrio exactamente ese mismo hackeo, supuestamente hecho por "hackers iranies"

al principio me asuste un poco, envie un mensaje a mi hosting para que me ayudaran, no me respondieron un carajo asi que por mi propia cuenta quise arreglarlo, no podia ingresar a mi panel de administracion, mi wp-login.php aparecia deformado tambien y me daba unos warnings acerca del header, ahora no recuerdo exactamente que decian

buscando y buscando encontre la solucion a traves de editar el site_url en la tabla opciones de mi base de datos atraves del phpMyadmin, ahi encontre un simple codigo html que era el que producia el hackeo, lo quite puse la url normal de sitio y todo se arreglo

Ahora mis dudas son

que fue esto??
fue una insercion sql verdad??
como pudieron hacerme eso??, cual es la vulnerabilidad en mi blog para que logren cambiar mi base de datos de esa manera??
tengo en el .htaccess un codigo que supestamente evita esas inserciones sql pero parace que no logro nada con eso..
sera algun plugin de wordpress??
tengo un plugin de suguridad en mi blog pero no me protegio un carajo de este ataque

y ahora Advierto!!
despues de arreglar mi blog me puse a buscar en google si otros sitios habian sufrido el mismo tipo de hackeo, y si, encontre bastantes, uno de esos es el que he puesto al principio y ademas es que encontre al autor del ataque en esta pagina

http://www.zone-h.org/archive/notifier=Mr_BL4cKH3T/page=1

al parecer en esa pagina algunos hackers andan presumiendo sus ataques o algo asi, si se fijan en la pestaña onhold hay muchos mas blogs con ese mismo ataque, que es esa gente lo hacen por deporte o por que alguien les paga o que??
 
Pues el problema lo puede tener tanto el propio wp como los plugins. Más probable es los plugins ya que están menos controlados que el wp.
 
La mayoria de veces, estos ataques son dirigidos por algun "Plugin" o "Theme", a mi me paso cuando poseia mi foro vBulletin original, pero con theme pirata nulled.
Esos "NULL" quiere decir que la intervencion de codigos por TERCEROS ha sido añadida.
Ten cuidado, cuando descargues, hasta en la misma pagina de wordpress, los plugins no son controlados.
Tengan cuidado con algunos.
Verifica los plugins, el theme y la DB si ha sido afectada, crea un WP de respaldo y verifica en tu DB que lineas han sido añadidas.

Saludos.
 
Me paso algo similar, lo que sufriste es un defaced, revisa los últimos log de tu alojamiento, aveces hacen inyecciones sql, fuerza brutal, quien sabe no fue el ataque directo a tu pagina sino al servidor mediante una shell code se rotearon todo y dejaron su index, trata de comunicar a tu proveedor de servicios y como mencionaron usa themes y plugin que te certifiquen que no tengan código malicioso
 
Eduardo Leon dijo:
La mayoria de veces, estos ataques son dirigidos por algun "Plugin" o "Theme", a mi me paso cuando poseia mi foro vBulletin original, pero con theme pirata nulled.
Esos "NULL" quiere decir que la intervencion de codigos por TERCEROS ha sido añadida.
Ten cuidado, cuando descargues, hasta en la misma pagina de wordpress, los plugins no son controlados.
Tengan cuidado con algunos.
Verifica los plugins, el theme y la DB si ha sido afectada, crea un WP de respaldo y verifica en tu DB que lineas han sido añadidas.

Saludos.
Hacer clic para expandir...

thejhonsex dijo:
Me paso algo similar, lo que sufriste es un defaced, revisa los últimos log de tu alojamiento, aveces hacen inyecciones sql, fuerza brutal, quien sabe no fue el ataque directo a tu pagina sino al servidor mediante una shell code se rotearon todo y dejaron su index, trata de comunicar a tu proveedor de servicios y como mencionaron usa themes y plugin que te certifiquen que no tengan código malicioso
Hacer clic para expandir...

Precisamente ahora quiero estar seguro de que no se quedo algo por ahi en mi base de datos o en algun otro archivo del blog, como le hago una buena limpieza a mi blog despues de esto, donde reviso mas o que plugin uso para eso??, y como dices thejhonsex sospecho tambien de mi hosting, ultimamente en esa empresa de hosting han hecho muchos cambios, cambiaron de dueños, cambiaron de servidores, el soporte al cliente es un desastre, los estaba aguantando pero con esto ya llegue al colmo, ya tengo listo el nuevo hosting a donde mudarme pero quiero pasar mi blog bien limpio a ese nuevo hosting.
 
axkarx dijo:
Precisamente ahora quiero estar seguro de que no se quedo algo por ahi en mi base de datos o en algun otro archivo del blog, como le hago una buena limpieza a mi blog despues de esto, donde reviso mas o que plugin uso para eso??, y como dices thejhonsex sospecho tambien de mi hosting, ultimamente en esa empresa de hosting han hecho muchos cambios, cambiaron de dueños, cambiaron de servidores, el soporte al cliente es un desastre, los estaba aguantando pero con esto ya llegue al colmo, ya tengo listo el nuevo hosting a donde mudarme pero quiero pasar mi blog bien limpio .
Hacer clic para expandir...

Cómo te mencione, crea un foro de prueba con un wordpress limpio, y entra a la DB a traves de MySql, revisa y compara las DB las tablas y verifica en la tabla Users que no hayan otros usuarios "sospechosos".

Deshabilita todos los plugins e instala de nuevo en el wordpress de prueba, asegurate de que todo este bien, una vez hecho esto, migra al nuevo hosting.

Es un trabajaso, pero ahí esta el punto, en encontrar el error.

Saludos.
 
Si estas usando algun theme o plugin premiun, bajado de por ahi te aconsejo que lo bajes y analizes archivo por archivo, pasale antivirus si con eso no detecta nada, abre uno por uno y revisa el codigo puede haber codigos en base64, backdoors, upload por donde se filtran archivos y pues si lo encuentras, eliminate ese theme y compra la version de pago, no estoy seguro si es tu caso, pero aveces por ahorrarnos unos dolares perdemos mas de la cuenta, lo he vivido, saludos :encouragement:

- - - Actualizado - - -

Sigo con la lectura de tu post, dejame decirte que ZONE-H.ORG solo fue creada para subir el orgullo y el ego de los hackers xD yo tbm andaba en ese mundillo, segun mi opinion todo es por deporte xD
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Seliyu
Acceso denegado a /wp-admin en sitio Wordpress hackeado
Respuestas
17
Visitas
2K
ramonjosegn
ramonjosegn
R
Cómo solucionar la vulnerabilidad de Tim Thumb en Wordpress
Respuestas
3
Visitas
722
Erick
Erick
alex
Nueva vulnerabilidad en WordPress: cómo proteger tu sitio
Respuestas
10
Visitas
2K
Santiago
S
Atrás
Arriba