Si, amiguetes, un hacker llamado Hmei7, ha conseguido hackear www.pilone.net , y de paso se ha llevado algunas webs menores como las de las empresas IBM, ASUS, BENQ, SIEMENS, YAMAHA, y otras miles.
El tema consistía en que cuando se entraba en el blog, se mostraba una página que he recompuesto y podéis ver aquí. No ha sido nada malicioso, y de verdad, que los sitios como pilone.net agradecemos en el alma que haya gente que advierta (aunque sea de una forma tan llamativa), de que la plataforma WordPress, en la que estamos miles y miles de los mejores blogs de Internet, tiene agujeros de seguridad. Tendremos que esperar para que WordPress desarrolle una solución a este agujero.
Gracias a los años que lleva uno en este negocio, lo he podido solucionar de una forma rápida. ¿Quieres saber cómo?, pues sigue leyendo.
Si hacemos caso de Internet, la reconstrucción va a pasar por restaurar una base de datos antigua, reinstalar todo, renombrar los títulos de los posts, bueno, un pitote.
Lo que yo he hecho es lo siguiente:
En el tema de wordpress que estemos usando, me he encontrado que el fichero header.php (fichero que se carga en todas las páginas) había sido modificado hace poco. Como yo no he sido, he restaurado una copia antigua de ese fichero y voila, solucionado.
Hay gente que dice que hay que cambiar contraseñas de ftp, base de datos, usuarios, etc, pero yo no lo he hecho, me apetece más saber por donde se ha colado este señor, que lo que me pueda reportar los miles y miles de millones de visitas que puedo perder en unas horas.
Gracias Hmei7.
#1 por ruben - marzo 13th, 2012 a las 21:39
Hola, buscando una solucion para el problema que tiene un amigo con su pagina, me encontre con tu caso, de:
http://www.pilone.net/2012/03/02/hmei7-ha-hackeado-las-webs-de-pilone-iy-otra/#more-1119
Me podrias por favor ayudar y decirme como puedo encontrar ese fichero que mencionas, como hay que modificarlo etc para solucionar el problema?…la verdad no conozco mucho de esto asi que mucho agradecere tu apoyo, te mando la liga de la pagina de mi amigo para que veas como esta hackeada. saludos y gracias anticipadas.
http://www.uniformesejecutivosmateos.com/
#2 por Pilone - marzo 14th, 2012 a las 08:23
Hola.
Por lo que puedo observar, tu sitio es un joomla. Tienes que buscar el sitio donde te ha metido el hack. Te sugiero que, como el administrador funciona bien, cambies el tema del sitio, a ver si así se soluciona. Si es así, el hackeo está en el tema, sólo tienes que buscar el fichero que ha cambiado, y restaurar una copia antigua. si no es así, tendrás que hacer una búsqueda del código del hack dentro de tu sitio, y si eso no funciona, buscarlo en la base de datos.
Espero que esto te sirva.
Un saludo
#3 por Sergio Q - enero 7th, 2013 a las 02:21
Hola. Acabo de sufrir un ataque del mismo sujeto en mi sitio web joomla!.
La solución es bastante simple.
El tipo no se mete con la base de datos, ni borra nada (al menos en mi caso), sólo se las arregla para entrar e interferir la hoja de inicio. O sea, mete un index.htm, un index.html y un index.php, así, cualquiera sea el que usas tú, sea reemplazado por el suyo. Todo lo que hay que hacer es borrar esos archivos, y reponer algun respaldo del index que utilizabas. en el caso de joomla! basta con poner el index.php bruto que viene de la instalación de la versión que uses.
Espero ayudar a alguien con esto, saludos.
#4 por Pilone - enero 7th, 2013 a las 13:16
Gracias por la aportación Sergio.
Pilone.
#5 por Pablo P - enero 8th, 2013 a las 14:03
Gracias por la ayuda, me sirvió el dato de joomla,
ahora, mi consulta es por donde se metió este personaje, si pueden darme luces de eso estaría aún más agradecido.
saludos desde Valdivia-Chile mi bella ciudad…..
#6 por Pilone - enero 8th, 2013 a las 14:07
Yo sospecho que tiene algo que ver con los permisos de los ficheros y los directorios, que en joomla es un poquito lioso.
Un saludo, y feliz año.
#7 por Francisco - enero 15th, 2013 a las 20:13
SI tuviera a este hack delante lo matabaaaaaaaaaaaaaa