Problemas con hack sec-w.com en Wordpress, ayuda por favor!

F

fabenech

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
9 May 2013
Mensajes
46
Hola! Paso a explicarles mi problema.
Hace dos dias que esta gente me cambia, a traves de algun script, los usuarios y contraseñas en wordpress. Logro volverlos a la normalidad a traves de MySQL en la base de datos de los usuarios, cambio las contraseñas por unas imposibles (mayusculas, minusculas, signos) y ahora volvio otra vez a cambiar los usuarios y contraseñas.
Tambien cambie la contraseña del Cpanel por las dudas, pero sigue pasando.
Intente buscar en Google algo sobre como eliminarlo, pero no encuentro informacion casi. Lo raro que aparentemente lo unico que cambia son los usuarios y contraseñas, no toca nada mas.
No quiero llegar a tener que borrar todo y hacer una instalacion limpia.
Alguno sabe algo sobre eso??
 

DoctorPC

1
Pi
SEO
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
10 Dic 2010
Mensajes
6.080
Tienes algo metido en el hosting...
Pide que pasen un antivirus para ver si se elimina con eso.
 
F

fabenech

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
9 May 2013
Mensajes
46
DoctorPC dijo:
Tienes algo metido en el hosting...
Pide que pasen un antivirus para ver si se elimina con eso.
Hacer clic para expandir...

Muchas gracias por responder! Voy a decirles que hagan eso a ver si se soluciona. Aunque ya pase el Virus Scanner del Cpanel y no encontro nada, como también otra herramienta online y tampoco encontro nada.
Por lo pronto instale el BPS plugin en wordpress y parece que no han podido cambiar nuevamente los usuarios, aunque tendría que esperar porque siempre se cambiaban durante la tarde (cerca de las 5 pm acá en Argentina). También cambie los permisos de varios archivos, según recomienda el plugin, que al parecer se me paso cambiarlos cuando hice la instalación de Wordpress.
Por lo que pude averiguar, el cambio lo hacen a través de un programa que se llama SQL CMD 3.0, que entre otras opciones, permite cambiar los nombres de usuarios y pass de Wordpress. También afecta a sitios con Joomla.
Haciendo un poco más de investigación, esto lo logran "chupando" del archivo config.php los datos de la base de datos (como el pass por ejemplo), cambiándolos por el que quieran ellos. Este archivo, como no tenía los permisos bien, seguramente les fue fácil hacerlo.
Lo que no se es, si hay algún script en mi sitio o metido en algún archivo, o lo hacen de forma remota. Me desconcierta que durante estos días que tuve el problema, siempre ocurria a la misma hora, por lo que se hace que está automatizado y alguién de algún lugar toca un botoncito y chupaba los datos.
En fin, creo haberlo solucionado, pero la idea que tengo es rehacer toda una instalación limpia de Wordpress por las dudas.
 
Hay que estar conectado o registrado para responder aquí.
Menú
Acceder
Registro