Problema de sobrecarga en servidor con posible ataque

  • Autor Autor josesi
  • Fecha de inicio Fecha de inicio
J

josesi

Gamma
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Buenas a todos!

Me pongo en contacto con vosotros a ver si me podéis ayudar a solucionar este problema que tengo.

Tengo mi página siremwild.com alojada en un servidor privado en 1and1. Cuando esta tiene un poco de tráfico me salta un error 500 de sobrecarga. Me he dado cuenta, con la ayuda de los técnicos de 1and1, que cuando actualizo la página (dándole al F5 simplemente) la CPU del servidor se pone al 100%.

Entonces mirando el Log de accesos al servidor he visto cosas como:

[20/Jun/2018:09:03:08 +0200] "GET /ssjqt-sauy-z13722-nxgemuqo-wcgwm-smoloba-k20173207-lqftz-hdtn/ HTTP/1.1" 200 162 siremwild.com "https://www.google.es/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36" "-"
[20/Jun/2018:09:01:20 +0200] "GET /z21472-pvhvy-tsvr-hnsoywoh/zjboa-k20173212-jbciwft-blkhu-ztli-ulhbtoha/ HTTP/1.1" 200 162 siremwild.com "https://www.google.es/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36" "-"

z21472-pvhvy-tsvr-hnsoywoh/zjboa-k20173212-jbciwft-blkhu-ztli-ulhbtoha ??? Esto que es? Si lo pongo en google, google me lo referencia a mi página, pero luego me lleva a una página de ropa que no tengo ni idea de qué es...

¿Me podéis ayudar?

Gracias de antemano!

pd: Si tenéis alguna idea que puede provocar que la página use tanta CPU, también será bienvenida!
 
Por lo que veo hay dos opciones:
1º) Han vulnerado tu sitio.
2º) Han vulnerado algún sitio que está en el mismo shared y como no enjaulan (chroot) pues un atacante puede hacer lo que quiera en todos los sites que hay en el shared.

Aquí se puede ver un alto número de resultados:
02.webp


06.webp


Busca y elimina de la raíz ficheros .php "raros" y elimina las carpetas que te han creado. Notificalo al hosting, pero poco van a hacer.

Saludos
 
Primero de todo, gracias por contestar.

Pues he estado buscando archivos php en la raíz y no he visto nada fuera de lugar. Te adjunto imagen por si acaso pero...

1.webp

La segunda opción... realmente es un servidor privado, entonces o me han vulnerado a mi o me están timando no?

Gracias!

EDITO: Ostras, la carpeta tactile? que es ?!

- - - Actualizado - - -

Buenas,

Me he cargado la carpeta tactile y parece que funciona bien y los enlaces ya no redirigen a la página aquella.

Muchas gracias por la ayuda.
 
Última edición:
josesi dijo:
Primero de todo, gracias por contestar.

Pues he estado buscando archivos php en la raíz y no he visto nada fuera de lugar. Te adjunto imagen por si acaso pero...

Ver el archivo adjunto 122145

La segunda opción... realmente es un servidor privado, entonces o me han vulnerado a mi o me están timando no?

Gracias!

EDITO: Ostras, la carpeta tactile? que es ?!

- - - Actualizado - - -

Buenas,

Me he cargado la carpeta tactile y parece que funciona bien y los enlaces ya no redirigen a la página aquella.

Muchas gracias por la ayuda.
Hacer clic para expandir...

Buenas, los atacantes suelen guardar shells en directorios más profundos de wordpress, como pueden ser wp-content, wp-admin, wp-includes, etc... aunque puede ser que es lo que te haya comentado anteriormente y es que directamente hayan vulnerado el servidor.

Para localizar a "ojo" estos ficheros, pues fíjate en:
  1. Tamaño del PHP (más de 15kb). aunque esto no es siempre así
  2. Fecha de modificación (siempre y cuando no lo hayan modificado)
  3. Nombres raros

Con respecto a si es un servidor privado. Si no gestionas el sistema operativo y tiene un precio aceptable (bueno es 1&1... :welcoming🙂 es casi con toda seguridad un shared.

Desde VirusTotal se comprueba rápidamente:
01.webp
Vemos la IP de la máquina. Si hacemos clic nos mostrará todos los reportes (dominios) relacionados con esa máquina:

02.webp
Aquí vemos URLs reportadas del día de hoy.

Yo personalmente huyo sin mirar atrás de los shared por esto mismo. Aunque puedas tener la mejor seguridad instalada en tu sitio, da igual porque si acceden a la máquina estás vendido igualmente. Ojo, no digo que todos los shared no enjaulen bien a los usuarios, pero hay bastantes que no lo hacen y les da igual.

Saludos
 
Última edición:
Hay que estar conectado o registrado para responder aquí.

Temas similares

C
Cómo prevenir sobrecarga del servidor con Wordfence
Respuestas
7
Visitas
818
enrique00
enrique00
XYZ
Problemas de sobrecarga del servidor compartido
Respuestas
3
Visitas
804
XYZ
XYZ
datacrof
Problema de sobrecarga de servidor al instalar plugin en WordPress
Respuestas
8
Visitas
2K
Julcar
J
Atrás
Arriba