Cómo pudieron hackear mi sitio web?

bl4ckdr00t5 · 3 Febrero 2013, 14:08 PM

Hola estimad@s. Espero estar en el foro correcto. Me han hackeado mi sitio web www.deepdesign.cl, no he cambiado lo que pusieron, para que lo puedan ver.
Era un sitio en wordpress. Revisando el htdocs, borraron todo y dejaron dos archivos, html y php.

Ya no me importa que hayan hecho eso o porqué, lo quiero aprender! Por favor Uds me podrían decir cómo pudieron hacer eso?? O sea, sé que tienen que haber tenido acceso al usuario y pass del panel de control, pero, cómo lo consiguieron?

Estuve estudiando SQL i , pero no estoy seguro quelo hayan hecho de esa manera.

Quedo atento a sus comentarios. Muchas gracias!

AWES0MN · 3 Febrero 2013, 15:36 PM

Cita de: bl4ckdr00t5 en 3 Febrero 2013, 14:08 PM
Hola estimad@s. Espero estar en el foro correcto. Me han hackeado mi sitio web www.deepdesign.cl, no he cambiado lo que pusieron, para que lo puedan ver.
Era un sitio en wordpress. Revisando el htdocs, borraron todo y dejaron dos archivos, html y php.

Ya no me importa que hayan hecho eso o porqué, lo quiero aprender! Por favor Uds me podrían decir cómo pudieron hacer eso?? O sea, sé que tienen que haber tenido acceso al usuario y pass del panel de control, pero, cómo lo consiguieron?

Estuve estudiando SQL i , pero no estoy seguro quelo hayan hecho de esa manera.

Quedo atento a sus comentarios. Muchas gracias!

Hay muchas formas de hacerlo, incluso con un keylogger en tu PC.

Y puede ser que por SQL, no tengo ni idea en verdad, eso lo saben ellos que son los que explotaron el bug XD.

Los árabes suelen hackear bastantes páginas XD, no es extraño ver sirios, turkos, etc.

alister · 3 Febrero 2013, 17:24 PM

9 de cada 10 defaces de wordpress son simplemente porque el usuario no tenia la version mas actualizada de wordpress, y el atacante explota bugs conocidos en el código de versiones viejas.

sql es parte de los conocimientos necesarios para construir un exploit, en la mayoria de casos. obviamente, si tienes control de un servidor pero no sabes sql, no puedes manipular las bases de datos. y si hay una posible inyeccion sql pero no sabes sql, tampoco podras aprovecharla.

lo que debes hacer en tu reconstrucción es utilizar siempre una version actualizada de tu CMS (en tu caso, wordpress), mantenerla al dia siempre, visitar el backoffice regularmente en busca de actualizaciones, y tomar cuantas medidas de seguridad adiicionales puedas y aprendas, asi como añadir algun plugin que te ayude a mjorar la seguridad, si es que hubiera alguno (en el caso de wordpress no controlo mucho, pero si en joomla desarrollamos plugins para mejorar la seguridad, seguro que en wordpress tambien lo hacen)

Darioxhcx · 3 Febrero 2013, 23:50 PM

pudieron haber rooteado el servidor y de ahi hacer defaces a todas las paginas alojadas en el servidor...

alister · 4 Febrero 2013, 01:06 AM

Cita de: Darioxhcx en 3 Febrero 2013, 23:50 PM
pudieron haber rooteado el servidor y de ahi hacer defaces a todas las paginas alojadas en el servidor...

esto es con toda probabilidad un NO.

los profesionales podemos fallar, pero es mucho menos probable. especialmente si se trata de empresas de hosting.

cualquier teoria mas sencilla es mas probable que semejante hhipotesis.

#!drvy · 4 Febrero 2013, 02:24 AM

Aunque me parece mas probable el caso de un wordpress desactualizado (hay que recordar que incluso las versiones recientes tienen fallos de seguridad), es perfectamente posible lo que menciona @Darioxhcx. De hecho, @alist3r, te sorprenderías de la cantidad de hostings que son comprometidos (mencionar algunos tan famosos como Miarroba o iEspana {en el pasado}).

Mas info: http://0verl0ad.blogspot.com.es/2008/09/rootear-servidores.html

PD:

CitarLos árabes suelen hackear bastantes páginas XD, no es extraño ver sirios, turkos, etc.

Los turkos no son arabes -.-

Saludos

engel lex · 4 Febrero 2013, 03:15 AM

alist3r

la web de mi empresa está caída porque rootearon el hosting y lo dejaron caído por unas 48 horas, cuando pudimos acceder de nuevo a los sistemas estaba todo en 0, el hosting nos dijo que fue eso... nos ha pasado con otros hosting antes...

alister · 4 Febrero 2013, 16:24 PM

Cita de: drvy | BSM en 4 Febrero 2013, 02:24 AM
Aunque me parece mas probable el caso de un wordpress desactualizado (hay que recordar que incluso las versiones recientes tienen fallos de seguridad), es perfectamente posible lo que menciona @Darioxhcx. De hecho, @alist3r, te sorprenderías de la cantidad de hostings que son comprometidos (mencionar algunos tan famosos como Miarroba o iEspana {en el pasado}).

Mas info: http://0verl0ad.blogspot.com.es/2008/09/rootear-servidores.html

PD: Los turkos no son arabes -.-

Saludos

claro. por supuesto.

pero te apuesto 10 a 1 a que esta no es la ocasion.

usemos la navaja de ockam! hay que mirarse el ombligo (el wordpress) primero, que esos eventos que comentais, no pasan cada dia.

#!drvy · 4 Febrero 2013, 19:47 PM

Cita de: alist3r en 4 Febrero 2013, 16:24 PM
que esos eventos que comentais, no pasan cada dia.

Entonces tus fuentes de noticias están desactualizadas =)
http://www.zone-h.org/archive

Fíjate en los que aparecen la H y la M a la vez. Haz click sobre la M y veras todos los dominios que han sido afectados en el mismo servidor.

Ejemplo: Hoy mismo (4/2/2013) ... las primeras 4.
http://www.zone-h.org/archive/ip=77.79.84.34

Saludos

WHK · 4 Febrero 2013, 19:50 PM

Amigo, documentate sobre analisis forense... revisa el log de accesos de tu servidor y revisa las peticiones http para saber que hicieron antes de que la hackearan, si no hay nada entonces no creo que hayan entrado via web.

Saludos.