• Resuelto David Perez

    (@davidperez)


    Buenas, esta mañana me he encontrado bastantes webs hackeadas en mi servidor. El ataque es curioso, lo que hace es cambiar el usuario con id 1, a massri.ps y con una contraseña.

    Me ha pasado en webs actualizadas, algunas con el plugin de Sucuri, que no ha detectado nada…

    ¿Por donde puedo mirar para detectar el problema?

    ¿Os ha pasado algo parecido?

    • Este debate fue modificado hace 7 años, 2 meses por David Perez.
Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • Moderador Fernando Tellado

    (@fernandot)

    Primera noticia, no me ha pasado ni me suena

    Moderador José Arcos

    (@josearcos)

    Hola @davidperez, lo primero que te recomiendo es seguir la siguiente guía https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/

    Si han sido varias instalaciones en el mismo servidor lo más probable es que sea una vulnerabilidad común en esas instalaciones. Revisa qué tienen en común, plugins, usuarios, temas, etc.

    Si el servidor es autogestionado asegúrate de tener las últimas versiones del software, por ejemplo, PHP, MySQL, NGinx o extensiones propias de estos sistemas.

    Saludos.

    Iniciador del debate David Perez

    (@davidperez)

    Buena guía, pero estos temas están tomados en cuenta.

    Ha sido un ataque por lo que veo al archivo xmlrpc.php, inyectando sql tiene pinta. Es raro, ya que me ha dado en última versiones de PHP y WordPress… estoy viendo averiguando cómo ha entrado…

    buenas
    cuando tengo dudas sobre los plugins uso una instalación que tengo de
    https://github.com/wpscanteam/wpscan

    me permite estar seguro si alguno de los plugins tiene una vulnerabilidad conocida

    además tiene mas funciones (no soy experto seguridad así que sólo puedo recomendarlo no explicarlo)

Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • El debate ‘Hackeadas webs actualizadas y con plugins de seguridad’ está cerrado a nuevas respuestas.