Foros del Web » Administración de Sistemas » Shared Hosting y VPS »

Despues de haber sido hackeado que puedo hacer?

Estas en el tema de Despues de haber sido hackeado que puedo hacer? en el foro de Shared Hosting y VPS en Foros del Web. Hola amigos. Tengo hosting con Awardspace, ellos ofrecen un hosting compartido, donde tengo las paginas de todos mis clientes , mas o menos 30 dominios ...
  #1 (permalink)  
Antiguo 12/02/2011, 11:03
Avatar de insyse  
Fecha de Ingreso: abril-2005
Ubicación: Colombia
Mensajes: 206
Antigüedad: 19 años, 7 meses
Puntos: 5
Despues de haber sido hackeado que puedo hacer?

Hola amigos.

Tengo hosting con Awardspace, ellos ofrecen un hosting compartido, donde tengo las paginas de todos mis clientes , mas o menos 30 dominios y unos 50 subdominios.

La semana pasada no se como hackearon mi hosting y cambiaron todos los archivos index.php, index.htm e index.html. por una mensaje que decía lo de siempre... "JAJAJA TE HACKEAMOS JAJAJA ETC. ETC. ETC"

inmediatamente restauré los archivos originales y pues no paso a mas, o por lo menos eso creía. Ayer me escribieron de awardspace y me dicen que se están enviando desde mi hosting correos masivos de SPAM (algo de enlage your penis y viagra y esas cosas) que estoy 100% seguro que no lo hace ninguno de mis clientes, por lo que asumo que debió haber quedado algún script que le permite al hacker enviar desde mi hosting su basura.

Ayer descargue todos los archivos de mi hosting, con la tarea de buscar código malicioso, pero veo que eso es una misión titánica, pues tengo mas de 19.000 archivos PHP entre todos los dominios y subdominios.

Lo unico que me queda es tratar de restaurar desde mi archivo local nuevamente todos los archivos del hosting y esperar que el código no quede nuevamente.

Ahora quisiera saber si existe alguna forma de proteger mi hosting contra accesos no autorizados, o modificaciones de archivos, usando .httacces??? pues yo uso contraseñas complicadas para mi hosting y ftp, pero veo que no es suficiente.


Gracias mi amigos,

StoehrArt
  #2 (permalink)  
Antiguo 12/02/2011, 11:48
 
Fecha de Ingreso: noviembre-2009
Ubicación: Rosario Santa Fe
Mensajes: 159
Antigüedad: 15 años
Puntos: 12
Respuesta: Despues de haber sido hackeado que puedo hacer?

Hola como estas vos como hosting compartido lo unico que podes hacer es actualizar todos los script que tengan coneccion a bases de datos eJ Woorpress o joomla , lo demas lo tiene que hacre tu proveedor ya que puede tener instalado un paquete que esta siendo vulnerable mandale un reclamo pidiendo que actualizen sus programas
  #3 (permalink)  
Antiguo 12/02/2011, 16:05
Avatar de atlanticadigital  
Fecha de Ingreso: agosto-2008
Ubicación: Buenos Aires - Argentina
Mensajes: 1.417
Antigüedad: 16 años, 3 meses
Puntos: 128
Respuesta: Despues de haber sido hackeado que puedo hacer?

insyse, dudo mucho que el problema venga del servidor. Mas bien me parece que el problema puede venir de una pc infectada a traves de algun software que tengas instalado en tu PC. Sugerencias:
- Utiliza solo software legal en tu pc. Muchas veces los programas que bajas de internet (por ejemplo clientes ftp) vienen con virus, lo que hace que cada que que te conectas a tu servidor ingresen un codigo malicioso dentro del archivo de la web.
- Escanea toda la pc en busca de spyware o malware.
- Revisa los archivos de tus webs en busca de algun iframe dentro del codigo.
- Mantene actualizado tus aplicaciones y scripts.

Luego, en cuanto a los mails que se estan enviando desde tus cuentas: modifica las claves de las cuentas de mails por nuevas y revisa todos los formularios que tengas en las webs, mantenelos protegidos. Es posible que se este aprovechando alguna vulnerabilidad en la programacion de los formularios para el envio de spam.

Saludos.
__________________
AtlanticaDigital.net
Planes de Hosting
  #4 (permalink)  
Antiguo 12/02/2011, 16:39
Avatar de insyse  
Fecha de Ingreso: abril-2005
Ubicación: Colombia
Mensajes: 206
Antigüedad: 19 años, 7 meses
Puntos: 5
Respuesta: Despues de haber sido hackeado que puedo hacer?

Pues gracias por sus comentarios,

Les cuento que voy de mal en peor... Me he tomado el trabajo de revisa por ftp las carpetas a ver si veía algo fuera de lo común y efectivamente encontré una serie de archivos que estaba seguro no existían y que se que nadie excepto yo podría haber subido al servidor.

Eran mas o menos 10 archivos de los cuales unos 6 tenían el prefijo de googleadsense1_ y googleanalitics_ los demás eran algo como comfish.php o 1.php

baje los archivos a mi pc y mi antivirus inmediatamente detecto que eran virus o archivos con script dañinos para la web, asi que los bloqueó inmediatamente.

Pude bajar los que tenian el prefijo de google, eran archivos de PHP que ademas note que tenían CHMOD 777, por lo que me di cuenta que no eran archivos que yo hubiera subido, pues mi sarchvios siempre estan con 744. Los abrí y revise su código y vaya sorpresa...

tenian algo asi como :

BUSCA TODAS LAS CARPETAS DEL HOST.
ENCUENTRA TODOS LOS ARCHIVOS LLAMADOS INDEX
CAMBIA SUS PROPIEDADES A 777
ESCRIBE ESTE CODIGO EN CADA UNO....
ETC
ETC.
ETC

obviamente escrito en PHP, ademas por lo que pude entender del código, hay una parte que verifica si el servidor corren en Win o Unix si es unix, hay otra parte de código que puede modificar los archivos httpd.conf, vhost.conf, php.ini y otros tantos que me imagino deben ser tan o mas importantes....

bueno en definitiva borre del servidor todos estos archivos, excepto uno llamado 1.txt el cual no me dejaba eliminarlo, ni descargarlo...

cuando trate de bajarlo a local, Puffff ... me saltaba al FTP raiz
trataba de entraa a las carpetas de los dominios y de nuevo me enviaba a la raiz de FTP

entonces paso por mi mente que se hubiera activado de nuevo algún script... Entre al panel de control y cambie inmediatamente claves de FTP y de Panel. pero fue tarde...

No se que pasó, pero no puedo acceder a ninguno de mis dominios, me aparece un error 403 en cada uno, en el panel de control no puedo ingresar a File Manager, y por FTP, no me deja conectar al servidor....

Estoy en la inmunda, ya pase dos tikets de soporte pero no se que mas hacer.


__________________

En cuanto a lo que dice Atlanticadigital, agradezco el comentario, pero la verdad llevo 15 años en esto de computadores, anteriormente me dedicaba al soporte técnico y se muy bien como mantener al día mis antivirus, spyware y demás, se que el problema no radica en mi pc local.
  #5 (permalink)  
Antiguo 14/02/2011, 13:25
Avatar de especialistaseo  
Fecha de Ingreso: enero-2011
Ubicación: Lima
Mensajes: 138
Antigüedad: 13 años, 9 meses
Puntos: 3
Respuesta: Despues de haber sido hackeado que puedo hacer?

Puedes enviar a soporte un correo donde te indiquen de que dominio estan saliendo esos correos, para que se haga mas facil ellos pueden facilitarte un informe de su logs del server.

Saludos.
  #6 (permalink)  
Antiguo 15/02/2011, 10:49
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Respuesta: Despues de haber sido hackeado que puedo hacer?

Generalmente, este tipo de problemas se deben a scripts vulnerables, sin actualizar o bien por uso de permisos excesivos (escritura, generalmente) en archivos y carpetas. Por otro lado, quizás sea tu PC que está infectada por algún spyware que loguea tus conexiones de ftp (que oh casualidad, transmiten la información en texto plano, sin encriptar).

Contacta a tu proveedor y que ellos lo investiguen, quizás te puedan ser de ayuda.
Lo ideal sería levantar un backup más viejo a la infección y luego intentar securizar todas las áreas que te comentamos aquí.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #7 (permalink)  
Antiguo 16/02/2011, 08:48
 
Fecha de Ingreso: septiembre-2010
Ubicación: Valencia
Mensajes: 781
Antigüedad: 14 años, 2 meses
Puntos: 39
Respuesta: Despues de haber sido hackeado que puedo hacer?

Hola

Si es un cms deberás tenerlo actualizado y con los permisos correctos y NO 777 para todo

Restaura tu web y bd de una copia anterior al hackeo como dice WebTech

Cambia usuario y contraseña ftp y revisa todos los ordenadores el cual se conectaba ftp ya que puede que tengan un troyano

Revisa que el spam no se esté enviado desde el ordenador infectado utilizando el dominio afectado, en lugar de estar enviandose desde la web

Cambia las contraseñas de los correos

Saludos
__________________

Evidalia Hosting

Hosting, Resellers y Servidores VPS

Etiquetas: web-hosting
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:22.