help me han hackeado

Club para webmasters Foros Desarrollo web help me han hackeado

Viendo 15 entradas - de la 1 a la 15 (de un total de 24)
  • Autor
    Entradas
  • #15856 Karma: 0
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    Buenas solicito ayuda porque me han hackeado una web.
    Esta mañana me avisan por que habían aparecido unos banner de publicidad sospechosos en la home. https://altosdelenebro.es/

    Revisando un poco por encima veo que aparecían 3 admin en la web 2 ok y uno de ellos oculto.
    Voy a la BBDD y me encuentro este usuario: ilyaakustik@gmail.com
    tirando del hilo llego hasta esto: http://ddecode.com/hexdecoder/?results=f18d18cbd3efda90403b4a4d0bf6111f

    he borrado el usuario pero no localizo el código que esta ejecutando estos banner?

    A alguno os ha pasado algo similar?

    Muchas gracias
    Un saludo

    #15859 Karma: 1
    Manu Soporte
    Moderador
    23
    ChorriPuntos 1.244
    Nuevo

    Buenas noches y feliz martes! Aunque para ti no tiene que ser tan feliz…
    Vale lo primero es que le pases un antivirus al ordenador, o al ordenador que te hayas conectado. Para evitar que tengas algún bichito intentándose conectar por FTP.
    Qué decir que cambies las contraseñas de todos los usuarios, y crees un admin nuevo, y borres todos los que te han puesto.
    Después instala el wordfence, y pásale un scan a ver que te dice.
    Por último instala una versión limpia de wordpress, si te ha salado algo con el wordfence relacionado con código malicioso con algún plugin bórralo y vuelve a instalarlo.
    Y lo típico, mantén los plugins actualizados y themes. Pon contraseñas duras, y lleva cuidado con donde te metes 😉
    Un codazo enorme!

    #15862 Karma: 0
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    Buenas tardes Manu

    Pues estaba a punto de decirte que ya había probado todo eso y nada, pero he restaurado por tercera vez una copia de seguridad un poco más antigua, y parece que por fin se han eliminado por banner de los c%j%n%s.

    Muchas gracias por la respuesta, me ha servido para confirmar por lo menos que iba bien encaminado.

    un saludo!!

    #15868 Karma: 0
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    no me lo puede creer me han vuelto a aparecer…. se vuelve a crear el usuario admin…

    #15873 Karma: 1
    Supra
    Participante
    7
    ChorriPuntos 688
    Nuevo

    @albertuner
    Entra en file manager y comprueba esta ruta file manager : wp-content/plugins/monit.php a ver si aparece el archivo monit.php
    Yo tuve un problema parecido, ya que la web mostraba pop up de anuncios no autorizados.
    Échale un vistazo a este hilo : https://chorri.club/foros/tema/web-infectada-por-malware/
    Suerte tio

    SEO Y PASTA

    #15877 Karma: 0
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    Gracias @Supra, en mi caso no veo ese archivo he visto algún archivo sospechoso, pero cada vez que borro ese usuario admin, se vuelve a generar:

    mordor
    $P$BD1jWcdiXnNAjO9aYMXtDCC0Z5fTEd1
    mordor
    ilyaakustik@gmail.com

    me temo que voy a tener que tirar por aquí:

    https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/

    buf que jaleo 🙁

    Gracias por la ayuda

    #15880 Karma: 1
    David Cuesta
    Superadministrador
    149
    ChorriPuntos 6.918
    Curso SEO
    ChorriCuesta

    Buenas, cuando restaures la copia, asegúrate de cambiar la contraseña de la base de datos, ya que si el virus tiene acceso a esta accede y se vuelve a instalar. Puedes cargar la copia de seguridad en otra web con otra base de datos y ver si se generan los banners, para ver si esa copia aún lleva bicho.
    En estos casos si tienes copias de seguridad, lo mejor es restaurarlas cambiando todos los accesos, seguramente tengas alguna sin bicho.

    Un saludo!

    #15895 Karma: 1
    israel
    Participante
    21
    ChorriPuntos 913
    Pionero
    😎

    Hola! los Juakers suelen tener ideas bastante inteligentes! A veces al borrar el virus se replica… lo que hacen es llamar a un archivo que te han subido en alguna ruta y lo usan a modo de CRON: cada X minutos lo ejecutan para que el virus se replique en el caso de que lo hayas borrado.

    Lo mejor es que restaures un backup antiguo (que este limpio), si tu hosting tiene Imunify haz un scaneo para ver que es lo que detecta. Actualiza todos tus plugins, cambia la password de la db en el caso de que permita el acceso remoto, y cambia las contraseñas. En el caso de que no tengas plugins de seguridad instálalos, y busca un hosting con Imunify o BitNinja.

    Suerte!

    #15926 Karma: 0
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    ok gracias @david @israel y a todos por los consejos, por si la fiesta no estaba suficientemente animada, acabo de ver que le han metido a la web 70 enlaces os podéis imaginar de que tipo…que desastre…XDDD

    Es una web relativamente pequeña así que voy a optar por una solución drástica. Nueva instalación, nueva BBDD y nuevo hosting ya de paso.

    Una duda si me exporto un xml y configuro de nuevo todos los pluggins aislare el problema no?

    Gracias
    Un saludo

    #15930 Karma: 1
    David Cuesta
    Superadministrador
    149
    ChorriPuntos 6.918
    Curso SEO
    ChorriCuesta

    En principio no deberías tener más problemas si lo exportas como xml, siempre que no haya por ahí metido un script que se pueda replicar

    Para mí como dices, si la web es pequeña, hacerla de cero es lo más fácil muchas veces

    Un saludo!

    #15933 Karma: 1
    israel
    Participante
    21
    ChorriPuntos 913
    Pionero
    😎

    Al exportar la web en XML se está exportando también el HTML de los posts. Lo más probable es que los posts contengan esos enlaces en el HTML así que te los estarás llevando a tu nueva web.

    Lo mejor es que busques dónde están esos enlaces y lo soluciones. Puedes utilizar Screaming Frog y analizar todos los enlaces salientes. Desde ahí verás en que páginas te han añadido el código.

    Suerte!

    #15938 Karma: 2
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    vaya tela…. me he instalado Screaming Frog y ahí salen los enlaces pero, no tengo muyclaro cómo averiguar en qué páginas han añadido el código?

    De todas formas he pasado la instalación que he hecho en local por Screaming Frog y aquí no hay rastro de esas urls por lo que parece que podría funcionar…

    #15952 Karma: 1
    israel
    Participante
    21
    ChorriPuntos 913
    Pionero
    😎

    Hola de nuevo! El proceso que he realizado es el siguiente:

    1. Escanear la web con Screaming Frog.
    2. Dirigirse a la pestaña “External”.
    3. Marcar todos los links en la pestaña superior.
    4. En la pestaña inferior hacer clic en “Inlinks”.
    5. Clic en Export.

    screaming frog links salientes

    Me he fijado en que todos los enlaces tienen el mismo patrón.. sabiendo esto puedes hacer un Search and Replace en la base de datos y así eliminar todos los enlaces que te han añadido. Una vez hecho eso vuelves a pasar Screaming Frog para así poder comprobar que los hayas eliminado todos.

    He creado un Ghostbin con el código completo: https://ghostbin.co/paste/7afw. El proceso que debes seguir es el siguiente:

    1. Instalas en tu WordPress el plugin “Better Search Replace”.
    2. En Herramientas (dentro de tu WordPres) haz clic en “Better Search Replace”.
    3. Encontrarás un formulario:
    * Buscar por: (aquí introduces el código que te he dejado en el ghostbin)
    * Sustituir con: (lo dejas vacío para que lo sustituya por nada)
    * Seleccionar tablas: (selecciona todas pero seguramente con la de los posts sea suficiente)
    * ¿Quieres ejecutar un simulacro?: (de momento déjalo activo para ver si encuentra el código y
    lo sustituye. Una vez lo hayas probado desmarca esta opción para que remplace el contenido.)

    Suerte!!!

    #15959 Karma: 0
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    ohh mamma había llegado a ver esos inlinks pero esto que me pasas wow!!!
    voy a hacer esto que comentas y te digo

    muchas gracias!!

    #15963 Karma: 0
    albertuner
    Participante
    4
    ChorriPuntos 199
    Nuevo

    Vaya pues no esta funcionando me temo…

    Better Search Replace me dice: se han encontrado 81 tablas, 0 celdas que necesitan actualizarse y se han hecho 0 cambios.

    lo peor es que no consigo deshacerme del usuario admin, he cambiado la password de la BBDD lo elimino y vuelve a crearse…

    Gracias por la ayuda pero sigo adelante con la copia en local

Viendo 15 entradas - de la 1 a la 15 (de un total de 24)
  • Debes estar registrado para responder a este debate.