Fui hackeado.. como saber que ocurrio y que hacer para que no vuelvan a entrar..

Inicio Foros WordPress Seguridad Fui hackeado.. como saber que ocurrio y que hacer para que no vuelvan a entrar..

Este debate contiene 3 respuestas, tiene 3 mensajes y lo actualizó  imported_j.conti hace 6 años, 8 meses.

  • Autor
    Publicaciones
  • #22192

    Shinji
    Participante

    <p>… buenas..<br />
    resulta que al intentar ingresar a mi sitio no podia ingresar.. recorde que tenia otro usuario como administrador.. ingreso con el y resulta que mi user principal (que era admin, ya comentare de esto) estaba con el nombre de usuario cambiado.. el correo cambiado y probablemente la clave.. creo que alcance justo a verlo asi que reduje al usuario como suscriptor.. cambie el correo de ese perfil. la clave.. pase todos sus post a mi usuario maestro y lo elimine..<br />
    ahora bien.. sorprendi eso y creo que con mucha suerte.. pero el problema es que quizas no sea lo unico que haya hecho y si entro una vez tomando todas las medidas que pude del caso.. habia actualizado la vulnerabilidad del timthumb, cambie el prefijo de la base de tados y todos los consejos en general que pide WP-Security Admin tools by WebsiteDefender pero aun asi entraron y no se que mas podrian haber hecho..<br />
    asi que para darme algunas luces la unica "pista" que tengo es que cambiaron el nombre de usuario el cual segun dice el mismo wordpress no puede ser cambiado.. entonces si es asi como lo lograron??<br />
    eso me indica que no pudo haber sido mediante login.. no??<br />
    ahora.. solo el user admin fue atacado.. habra sido por no haberlo quitado antes?? pero me queda la duda pq creia que lo atacaban por fuerza bruta y no que lo hayan podido modificar por base de datos como me da a entender el que le cambiaran el nombre..<br />
    si ud supieran como podria haber ocurrido podria al menos tratar de tomar alguna medida (o si saben exactamente que ocurrio mejor aun)<br />
    Saludos!
    </p>

  • #54717

    Shinji
    Participante

    por cierto.. tambien tenia ya instalado el login lockdown.. asi que por fuerza bruta no creo que tampoco haya sido.. se que hubo una explosion de visitas en un minuto dado ayer.. que en 20 minutos tuve 600 visitas al home siendo que mi promedio son las 1000-1200 diarias lo cual es muy anormal..

  • #55090

    bps
    Participante

    lo mas “normal” es la instalación de un script en php que es la “caña” ya que permite hacer lo que te de la real gana, si, lo que quieras, el método de instalación…. pues usando exploits/bugs de wordpress, sql o de alguno de sus plugins mas la ingnieria inversa, metodos para que causen el menor de los daños?
    tener todo actualizado y un htaccess robusto como una roca, prevencion? mantener todo actualizado y, cual policia, patrullar de vez en cuando por todas partes.

    Como detecté el archivo “malicioso” teniendo en cuenta que en mi host tengo mas de 10 sites? Hablando de buen rollo con el proveedor del servicio, departamento de abuso, el cual me envio una ristra de archivos potencialmente dañinos.

    Si a alguien se le ocurren mas cosas… que las diga 😉

  • #55173

    imported_j.conti
    Participante

    Una vez hecho, es más complejo saberlo, pero si tu ftp te lo permite, puedes ir accediendo directorio a directorio e ir mirando la última fecha de edición, si alguno de los archivos es más nuevo que los demás, ha sido modificado.

    Pero un consejo, que no todo el mundo va a poder instalar, pero que yo lo tengo en todos lados.

    Tengo instalado este script:

    http://asvcs.com/

    Se activa un cron para que vaya trabajando y listo.

    Si descubres que has sido hackeado, solo debes acceder al script y ver lo que ha pasado con tus archivos desde la última actualización.

    Elinas lo que sobre y sobrescribes los que hayan sido tocado.

    Adiós a sufrir todo el dia por si te tocan algo.

    Eso si, como comento, no todo el mundo va a poder usar este script. Por memoria permitida o por restriccionaes de seguridad del servidor. Yo uso servidores dedicados y VPS y no tengo ningún problema.

    Lógicamente, añade a lo anterior una copia de la base de datos diria (cómo mínimo). Yo, en los sitios más importantes realizo una copia de seguridad de la base de datos cada 6 horas.

    Salu2

El foro ‘Seguridad’ está cerrado y no se permiten nuevos debates ni respuestas.

Centro de preferencias de privacidad

Cookies imprescindibles

Se usan para saber si ya aceptaste nuestras políticas y para servir más rápidos los contenidos.

gpdr, wpSGCacheBypass

Cookies de terceros

Usamos cookies de terceros en las que se almacenan externamente para conocer tus usos de navegación, si ya estás suscrito al boletín y los elementos compartidos en redes sociales

cfduit_, intercom-id, intercom-lou, mailerlite:language, mailerlite:webform, _ga, _gid

Pin It on Pinterest

if ( is_allowed_cookie( '_cfduit' ) { }