Me hackearon colegota.fotolibre.net

[Colegota]

Buenas,

pues lo que veis. De casualidad esta mañana quería ver unas cosas que tenía ahí y me redirigía a una página donde intentaban que instalase un "Antivirus 2009" que, por lo que veo, es un virus que está dando mucha guerra en simulacros de sistemas operativos.

Tras el primer repaso al servidor he visto que el .htaccess había sido modificado el día 7 con un

Código: [Seleccionar]

Redirect 301 / http://web-lider.org/stats/go.php?sid=16
aunque lo que aparece en la url a donde llega al final es

Código: [Seleccionar]

http://best-anti-virus-scanner.com/2009/1/en/_freescan.php?nu=880801
Lo he sustituido por la última copia de seguridad, pero entonces lo que aparecía era una página con una especie de file manager o gestor de ficheros desde donde se podía acceder a los ficheros en el disco y ejecutar comandos sobre ellos.

Aquí ya he dado parte al servicio técnico que, aunque rápido, tampoco es que haya sido de mucha ayuda. Me han dicho que borrase todo lo que había, incluyendo la base de datos, y que recuperase las copias de seguridad.

Al recuperar la copia de los ficheros seguía el problema. Se ha corregido tras borrar la base de datos y volver a cargarla con la copia.

Los .htaccess estaban con permisos 666 por la dichosa configuración de Wordpress, que entiendo que si no se van a hacer más cambios en la misma, una vez actualizado se puede volver a poner como 644, cosa que ya he hecho en todas las páginas. por cierto, la única infectada era la mía. Que, por otra parte, tiene la versión más reciente de WP de todas, aunque no la última.

Lo mosqueante es como acceden a la base de datos. El del servicio técnico me dice que ponga un password muy complicado y que lo resetee, pero es que Wordpress genera uno de esos ilegibles. Y que actualice las versiones. Pero ya os he comentado que actualizar WP o SMF es un sufrimiento por los problemas que dan debido a los juegos de caracteres. Y que se necesita mucho tiempo libre para eso.

También me ha extrañado que he buscado por los conceptos mencionados en google y en el buscador de wordpress.org y, o no atino con las palabras de búsqueda, o he sido de los primeros en estrenar dicho ataque. Me inclino más por lo primero.

Bueno, que lo sepáis.

Saludos,
Colegota

[jofial]

Hola Colegota,

Yo es que de esto ni  pero he visto TecnoSeguridad, que no se si resuelve nada, pero no nos sentimos tan solos. Por la fecha del post viene de lejos la cosa.

http://www.tecnoseguridad.net/los-falsos-antivirus-y-el-uso-fraudulento-del-htaccess-de-pginas-legtimas/

Saludos

Jose

[Colegota]

Buenas,

sí, es eso. Aunque a mi el .htaccess me lo han dejado más sencillo y no tiene en cuenta que vengan de google o donde sea.

Saludos,
Colegota

[kaktus]

Hola,
Yo no conozco como funciona wordpress, pero por si acaso aqui va algo.


saludos

[JoRdi]

Buenas,

Habrá que ir al loro de ahora en adelante , así que eso era lo que hacía que tu avatar desapareciera, pues esto viene de muy lejos.

Saludos, JoRdi

[Charly Morlock]

Pues no he entendido mucho de lo que dices, pero si a ti que eres un crak son capaces de hakearte, a mi me van a freír vivo. Lo siento, menos mal que ha tenido solución.
Un abrazo

[Colegota]

así que eso era lo que hacía que tu avatar desapareciera,

no, no. No tiene nada que ver. Mi avatar está en villanos. La que me han asaltado es la de fotolibre y fue el 7 de enero. Ambos están en la misma máquina, pero con accesos diferentes.

Charly, copia de seguridad actualizada como poco cada vez que hagas cambios. Y de la base de datos con la frecuencia de lo que no quieras perder. 
Gracias por el enlace Gwens.

Saludos,
Colegota

[JoRdi]

Buenas,

así que eso era lo que hacía que tu avatar desapareciera,

no, no. No tiene nada que ver. Mi avatar está en villanos. La que me han asaltado es la de fotolibre y fue el 7 de enero.

De acuerdo, a mi estas cosas me van muy grandes

Saludos, JoRdi

[tat]

Joé que cosas... 

[invisible]

Joé que cosas... 

Pa'hebernos matao.

[tomas.senabre]

A mi me va a dar algo  me he puesto a revisar mi servidor con lupa 

[elpecoso]

joer, anda la cosa revuelta, primero Bisbal y ahora tú....
 


chau!

[tat]

joer, anda la cosa revuelta, primero Bisbal y ahora tú....

A ver si van a ser la misma persona... 

[elpecoso]

a ver Colegota, cántanos eso de elMandriva, elMandrivaaaaaaaa (bulería buleríaaaaaaaaaaaaaaaa)

 

chau!

[Rulo]

a ver Colegota, cántanos eso de elMandriva, elMandrivaaaaaaaa (bulería buleríaaaaaaaaaaaaaaaa)

 

chau!

  , además de vacileo

Que tal va el asunto?, a mí, como a Jordi, estas cosas se me quedan enormes