Cómo pudieron hackear mi sitio web?

Iniciado por bl4ckdr00t5, 3 Febrero 2013, 14:08 PM

0 Miembros y 1 Visitante están viendo este tema.

bl4ckdr00t5


Hola estimad@s. Espero estar en el foro correcto. Me han hackeado mi sitio web www.deepdesign.cl, no he cambiado lo que pusieron, para que lo puedan ver.
Era un sitio en wordpress. Revisando el htdocs, borraron todo y dejaron dos archivos, html y php.

Ya no me importa que hayan hecho eso o porqué, lo quiero aprender! Por favor Uds me podrían decir cómo pudieron hacer eso?? O sea, sé que tienen que haber tenido acceso al usuario y pass del panel de control, pero, cómo lo consiguieron?

Estuve estudiando SQL i , pero no estoy seguro quelo hayan hecho de esa manera.

Quedo atento a sus comentarios. Muchas gracias!

AWES0MN

Cita de: bl4ckdr00t5 en  3 Febrero 2013, 14:08 PM
Hola estimad@s. Espero estar en el foro correcto. Me han hackeado mi sitio web www.deepdesign.cl, no he cambiado lo que pusieron, para que lo puedan ver.
Era un sitio en wordpress. Revisando el htdocs, borraron todo y dejaron dos archivos, html y php.

Ya no me importa que hayan hecho eso o porqué, lo quiero aprender! Por favor Uds me podrían decir cómo pudieron hacer eso?? O sea, sé que tienen que haber tenido acceso al usuario y pass del panel de control, pero, cómo lo consiguieron?

Estuve estudiando SQL i , pero no estoy seguro quelo hayan hecho de esa manera.

Quedo atento a sus comentarios. Muchas gracias!
Hay muchas formas de hacerlo, incluso con un keylogger en tu PC.

Y puede ser que por SQL, no tengo ni idea en verdad, eso lo saben ellos que son los que explotaron el bug XD.

Los árabes suelen hackear bastantes páginas XD, no es extraño ver sirios, turkos, etc.
"Hay 10 tipos de personas el mundo: aquellas que entienden los binarios y las que no" - Anónimo.

Gentoo GNU/Linux

alister

9 de cada 10 defaces de wordpress son simplemente porque el usuario no tenia la version mas actualizada de wordpress, y el atacante explota bugs conocidos en el código de versiones viejas.

sql es parte de los conocimientos necesarios para construir un exploit, en la mayoria de casos. obviamente, si tienes control de un servidor pero no sabes sql, no puedes manipular las bases de datos. y si hay una posible inyeccion sql pero no sabes sql, tampoco podras aprovecharla.

lo que debes hacer en tu reconstrucción es utilizar siempre una version actualizada de tu CMS (en tu caso, wordpress), mantenerla al dia siempre, visitar el backoffice regularmente en busca de actualizaciones, y tomar cuantas medidas de seguridad adiicionales puedas y aprendas, asi como añadir algun plugin que te ayude a mjorar la seguridad, si es que hubiera alguno (en el caso de wordpress no controlo mucho, pero si en joomla desarrollamos plugins para mejorar la seguridad, seguro que en wordpress tambien lo hacen)
Back 2 business!

Darioxhcx

pudieron haber rooteado el servidor y de ahi hacer defaces a todas las paginas alojadas en el servidor...

alister

Cita de: Darioxhcx en  3 Febrero 2013, 23:50 PM
pudieron haber rooteado el servidor y de ahi hacer defaces a todas las paginas alojadas en el servidor...

esto es con toda probabilidad un NO.

los profesionales podemos fallar, pero es mucho menos probable. especialmente si se trata de empresas de hosting.

cualquier teoria mas sencilla es mas probable que semejante hhipotesis.
Back 2 business!

#!drvy

#5
Aunque me parece mas probable el caso de un wordpress desactualizado (hay que recordar que incluso las versiones recientes tienen fallos de seguridad), es perfectamente posible lo que menciona @Darioxhcx. De hecho, @alist3r, te sorprenderías de la cantidad de hostings que son comprometidos (mencionar algunos tan famosos como Miarroba o iEspana {en el pasado}).

Mas info: http://0verl0ad.blogspot.com.es/2008/09/rootear-servidores.html


PD:
CitarLos árabes suelen hackear bastantes páginas XD, no es extraño ver sirios, turkos, etc.
Los turkos no son arabes -.-

Saludos

engel lex

alist3r

la web de mi empresa está caída porque rootearon el hosting y lo dejaron caído por unas 48 horas, cuando pudimos acceder de nuevo a los sistemas estaba todo en 0, el hosting nos dijo que fue eso... nos ha pasado con otros hosting antes...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

alister

Cita de: drvy | BSM en  4 Febrero 2013, 02:24 AM
Aunque me parece mas probable el caso de un wordpress desactualizado (hay que recordar que incluso las versiones recientes tienen fallos de seguridad), es perfectamente posible lo que menciona @Darioxhcx. De hecho, @alist3r, te sorprenderías de la cantidad de hostings que son comprometidos (mencionar algunos tan famosos como Miarroba o iEspana {en el pasado}).

Mas info: http://0verl0ad.blogspot.com.es/2008/09/rootear-servidores.html


PD: Los turkos no son arabes -.-

Saludos


claro. por supuesto.

pero te apuesto 10 a 1 a que esta no es la ocasion.

usemos la navaja de ockam! hay que mirarse el ombligo (el wordpress) primero, que esos eventos que comentais, no pasan cada dia.
Back 2 business!

#!drvy

Cita de: alist3r en  4 Febrero 2013, 16:24 PM
que esos eventos que comentais, no pasan cada dia.

Entonces tus fuentes de noticias están desactualizadas =)
http://www.zone-h.org/archive

Fíjate en los que aparecen la H y la M a la vez. Haz click sobre la M y veras todos los dominios que han sido afectados en el mismo servidor.

Ejemplo: Hoy mismo (4/2/2013) ... las primeras 4.
http://www.zone-h.org/archive/ip=77.79.84.34

Saludos

WHK

Amigo, documentate sobre analisis forense... revisa el log de accesos de tu servidor y revisa las peticiones http para saber que hicieron antes de que la hackearan, si no hay nada entonces no creo que hayan entrado via web.

Saludos.