Foro de elhacker.net

Hola estimad@s. Espero estar en el foro correcto. Me han hackeado mi sitio web www.deepdesign.cl, no he cambiado lo que pusieron, para que lo puedan ver.
Era un sitio en wordpress. Revisando el htdocs, borraron todo y dejaron dos archivos, html y php.

Ya no me importa que hayan hecho eso o porqué, lo quiero aprender! Por favor Uds me podrían decir cómo pudieron hacer eso?? O sea, sé que tienen que haber tenido acceso al usuario y pass del panel de control, pero, cómo lo consiguieron?

Estuve estudiando SQL i , pero no estoy seguro quelo hayan hecho de esa manera.

Quedo atento a sus comentarios. Muchas gracias!

Hay muchas formas de hacerlo, incluso con un keylogger en tu PC.

Y puede ser que por SQL, no tengo ni idea en verdad, eso lo saben ellos que son los que explotaron el bug XD.

Los árabes suelen hackear bastantes páginas XD, no es extraño ver sirios, turkos, etc.

9 de cada 10 defaces de wordpress son simplemente porque el usuario no tenia la version mas actualizada de wordpress, y el atacante explota bugs conocidos en el código de versiones viejas.

sql es parte de los conocimientos necesarios para construir un exploit, en la mayoria de casos. obviamente, si tienes control de un servidor pero no sabes sql, no puedes manipular las bases de datos. y si hay una posible inyeccion sql pero no sabes sql, tampoco podras aprovecharla.

lo que debes hacer en tu reconstrucción es utilizar siempre una version actualizada de tu CMS (en tu caso, wordpress), mantenerla al dia siempre, visitar el backoffice regularmente en busca de actualizaciones, y tomar cuantas medidas de seguridad adiicionales puedas y aprendas, asi como añadir algun plugin que te ayude a mjorar la seguridad, si es que hubiera alguno (en el caso de wordpress no controlo mucho, pero si en joomla desarrollamos plugins para mejorar la seguridad, seguro que en wordpress tambien lo hacen)

pudieron haber rooteado el servidor y de ahi hacer defaces a todas las paginas alojadas en el servidor...

esto es con toda probabilidad un NO.

los profesionales podemos fallar, pero es mucho menos probable. especialmente si se trata de empresas de hosting.

cualquier teoria mas sencilla es mas probable que semejante hhipotesis.

Aunque me parece mas probable el caso de un wordpress desactualizado (hay que recordar que incluso las versiones recientes tienen fallos de seguridad), es perfectamente posible lo que menciona @Darioxhcx. De hecho, @alist3r, te sorprenderías de la cantidad de hostings que son comprometidos (mencionar algunos tan famosos como Miarroba o iEspana {en el pasado}).

Mas info: http://0verl0ad.blogspot.com.es/2008/09/rootear-servidores.html


PD:
Los turkos no son arabes -.-

Saludos

alist3r

la web de mi empresa está caída porque rootearon el hosting y lo dejaron caído por unas 48 horas, cuando pudimos acceder de nuevo a los sistemas estaba todo en 0, el hosting nos dijo que fue eso... nos ha pasado con otros hosting antes...

claro. por supuesto.

pero te apuesto 10 a 1 a que esta no es la ocasion.

usemos la navaja de ockam (http://es.wikipedia.org/wiki/Navaja_de_Ockham)! hay que mirarse el ombligo (el wordpress) primero, que esos eventos que comentais, no pasan cada dia.

Entonces tus fuentes de noticias están desactualizadas =)
http://www.zone-h.org/archive

Fíjate en los que aparecen la H y la M a la vez. Haz click sobre la M y veras todos los dominios que han sido afectados en el mismo servidor.

Ejemplo: Hoy mismo (4/2/2013) ... las primeras 4.
http://www.zone-h.org/archive/ip=77.79.84.34

Saludos

Amigo, documentate sobre analisis forense... revisa el log de accesos de tu servidor y revisa las peticiones http para saber que hicieron antes de que la hackearan, si no hay nada entonces no creo que hayan entrado via web.

Saludos.

jo tio, mira que teneis el complicómetro alto xDDD

ni navaja de ockam ni ostias. esto es un caso perdido, aqui os gusta multiplicar las causas de manera tremendista y gratuita xD

a ver, yo nunca te voy a negar la existencia regular de incidencias. seria idiota por mi parte. pero hablemos en términos cientificos, por favor!

por cada compañia de hosting comprometida al completo (la cual a su vez generará un puñado de defaces), deben haber tranquilamente como miles de cuentas individuales comprometidas (sin compromiso superior en el hosting) por fallos en el codigo usado en sus cuentas.

no tengo los datos estadisticos obviamente, pero ¿no parece mas inteligente empezar las hipotesis desde abajo, desde lo simple, desde lo mas probable? digo yo, eh? no seeeeee! ya hasta me haceis dudar! jajaja

mi punto es que el usuario medio de un hosting es claramente mucho mas ingnorante, peor preparado que los profesionales de un servicio de hosting, que para eso son profesionales preparados. de hecho, el dueño promedio de una cuenta de hosting NO es webmaster ni tiene capacidades ni habilidades ni conocimientos ni hábitos para serlo. de ahi las proporciones anteriores de incidencias.

en el hosting control center de colt telecom he asistido a muchos heridos de guerra, pero pocas veces han tocado nuestro core. la probabilidad es mucho menor obviamente. nosotros estamos preparados y tenemos control del códgo y aplicaciones que usamos en nuestra infraestructura. pocas cosas quedan al azar.

PD: por favor, qué hosting es en el que estaba la web? vamos a ver ese caso en concreto a ver si hay notiicias de "hackeos"

EDITO: me respondo yo solito: http://cpanelhosting.cl/

OH DIOS

instalaste el wordpress utilizando la sección "FANTASTICO DELUXE" de tu cPanel...

¿no?

Creo que te estas confundiendo.

Normalmente las compañías de hosting tienen mas de un servidor. Una cosa es que comprometas UN servidor y otra cosa es comprometer la compañía de hosting entera. Aquí estamos hablado de rootear un servidor y hacer un mass deface a todos (o casi todos) los usuarios de dicho servidor... pero no hablamos de comprometer a la compañía entera.


Ya lo dije... Es mas probable una vulnerabilidad por parte del usuario que por la del hosting. Pero tampoco hay que descartar esa opción.


Con lo "fácil" que es montar un hosting hoy en día, y los muchos tutoriales a medias que hay, no creas que todos los dueños son profesionales.


No tiene porque salir en las noticias... de hecho la mayoría de las veces no sale. El caso de iEspana por ejemplo, comprometieron la base de datos completa hasta el punto de que con hacer un query podías obtener los datos de acceso a cualquier cliente del hosting... no salio ninguna noticia al respecto...

Y, lo se porque tenia una pagina de uploads de imágenes ahí y cuando la ownearon.. intente buscar lo que había pasado y me encontré con el foro de #RemoteExecution y un usuario mostrando una captura de la herramienta y su uso..

Saludos

Sobre esos hackeos en "cadena" hace poco hackearon la web de google de no se que país hackeando el hosting que utilizaba.

Y estaba mirando y vi este desface que seguro que fue por culpa del CMS desactualizado http://www.zone-h.org/mirror/id/19247823

dios mio parece que vivimos en mundos diferentes!

luego la gente me pregunta por que lo tengo todo en el extranjero con hostgator.

pero si llevo años usando hstings y nunca nos ha pasado nada!

años!

quizas si tienes razón, drvy | BSM, en que el sector del hosting está muy troyanizado...

prefiero no bajar a esos niveles a mirar! para mi el hosting es algo serio y no me pondria en manos de ~|½#~|@#4'ers

volviendo al tema! que nos desviamos!

creo que el servidor de hosting de bl4ckdr00t5 no tiene flaws ni ha sido pwneado, pero hay un tema que siempre trae cola: promueven el uso de fantástico deluxe, el cual despliega (de forma automatica y muy comoda, eso si) instalaciones de los mas famosos CMS, pero por mas que se esfuerzan nunca lo pueden tener al dia y acabas con una instalación de wordpress recien hecha... pero desfasada y vulnerable.

tambien habria que preguntarle a bl4ckdr00t5 cuánto hacia que no actualizaba su instalación de wordpress, respuesta que por norma general tampoco es muy halagueña... xD

Estimado, es lo más probable. Tengo varios clientes a los que les he creado sitios y 2 sitios de mis clientes que tenía en el mismo hosting han sido hackeados por los mismos #$%&/.
Me da mucha rabia que esta gente hackee sitios web por hackear, te creo que sean sitios de pedofilia, o de cosas malas, pero hackear por hackear... me desagrada.

no, instalacion normal. porque?

Respondo a tu pregunta. Tenía actualizado a la última versión de wordpress.

Aprovecho de preguntar. Es más seguro un sitio hecho 100% codigo? o con csm?

creo que tu pregunta no tiene respuesta si no se incluyen otras variables

un sitio hecho 100% codigo está hecho por (inserta aqui tu nombre)

un sitio hecho en wordpress está hecho, tambien por código, pero hecho por la gente de auttomatic:
(http://wpcom.files.wordpress.com/2010/10/automattic-seaside.jpg?w=686&h=456)

si eres mejor programador que todos ellos juntos, pues tu código será mas seguro que su codigo.

si no necesitas las funciones de wordpress y solo necesitas una landing page o una long form sales letter o un microsite... pues tienes otras ventajas derivadas de hacerlo tu mismo como por ejemplo que al ser única no queda expuesta a los constantes bugs y exploits del codigo de wordpress, que es sumamente popular y por tanto hay mucha gente investigando su seguridad y poniendola a prueba.

pero a su vez, el equipo de wordpress está mas preparado para responder ante problemas potenciales.

tú decides.

Alguien a hecho Whois al dominio? :P no me quiero imaginar que alguien crea una web, borra todos los archivos y luego dice que le hackearon el sitio, solamente para aprender como hacerlo :P
en el caso de ser verdad, no habia necesidad, hay muchos manuales para aprender :P

En caso de que este equivocado (ojala) espero que pronto encuentres al atacante :) recuerda que puedes denunciar a los atacantes, si entraron al sistema es muy probable que tu host haya registrado la IP desde donde ingresaron :)

Si como dices tu web estaba basada en wordpress, es muy posible que usasen este metodo:  http://foro.elhacker.net/seguridad/como_penetrar_un_blog_o_una_web_basados_en_wordpress-t380089.0.html (http://foro.elhacker.net/seguridad/como_penetrar_un_blog_o_una_web_basados_en_wordpress-t380089.0.html)