• ¡Bienvenid@! Recuerda que para comentar en el foro de El Chapuzas Informático necesitas registrar tu cuenta, tardarás menos de 2 minutos y te dará valiosa información además de ayudarte en lo que necesites o pasar un rato agradable con nosotros.

Ayuda: Nos han hackeado la web, y puesto virus en ella..¿y ahora que hacemos? pasos a seguir

Bimbache

Bimbache

Chapuzas Junior
Registrado
8 Ago 2012
Mensajes
505
Puntos
63
Muy buenas compañeros, les pongo lo me ha pasado a ver si alguien tiene experiencia y me sabe aconsejar.

Con un grupo de colegas gestionamos una pequeña web de una revista científica electrónica, algo muy modesto a nivel regional. El tema es que hace unos días la web daba errores de acceso y de repente se deja de poder acceder y cuando le dabas a acceder salía el siguiente mensaje:

"your system is very easy" Encima recochineo los muy cabrones.

system.jpg


Al hacer la búsqueda en Google, en los resultados salía una descripción de la web indicando que había sido "hackeada por Mr Exploit"

Esto salia:
hacked-mr.jpg


Todo parece indicar que usando alguna brecha habían accedido a nuestra web. No tenía nada de valor, una serie de artículos y documentos publicados gratuitamente y de los que teníamos copias y una pequeña base de datos con unos correos electrónicos la mayoría públicos también, sin datos sensibles. Que si querían pedirnos un rescate se iban a joder, ni para pipas iban a obtener.

Contactamos con el administrador del sitio web y se recupero la web cambiando contraseñas y poco más. Ya no sale el mensaje de Google tampoco.

El tema es que ahora, la web parece funcionar, pero al acceder a la misma el antivirus se me pone en modo paranoico (pongo foto).

Sospecho que los hacker han metido virus en la web para que al acceder a la misma se descarguen automáticamente software malicioso. No me he puesto a andar mucho en la web ni descargar nada por motivos evidentes. Aunque de lejos parece funcionar, parece estar infectada.

Mi idea es contactar con el administrador del sitio web e indicarle lo que sospecho. Ademas el sitio donde esta alojada la web es de pago y según creo no es barato, supongo que algún servicio prestaran en estos casos.

¿alguien tiene experiencia en estos casos?

¿sabe como se debe proceder?

¿Consejos?

Y esto es lo que me dice el antivirus:


Bit-defender.jpg
 
Última edición:
No soy un gran experto en estos temas. Pero si que sufri un ataque parecido. Una vez infectada la web por mucho que actualices y la repares el virus o incluso otras puertas traseras es posible que se queden para siempre. Asi que lo suyo es borrarla por completo y volver a una copia de seguridad de hace meses. Ese aviso te sale porque sigue infectada y te intenta meter un virus en tu ordenador.

La manera correcta de actuar es la siguiente.

1- Hacerla inaccesible al publico, para analizarla solo vosotros. En especial las versiones de todo el software utilizado. Por ejemplo si usas gestor de contenidos como Joomla, Extensiones y todas las librerias que usen bases de datos, librerias de seguridad, muchas te salen directamente al entrar a los ajustes de joomla o el gestor que useis. Tambien saber la version del kernel del servidor que se esta usando que tambien se suele visualizar en lo anterior.

2- Analizar si teneis versiones antiguas con fallos de seguridad. Por ejemplo si la version de PHP es 8.0 o inferior puede tener agujeros de seguridad ya que se dejo de dar soporte en octubre 2023 y saber la recomendada es la 8.3 que tiene soporte hasta finales 2026.

3-. Borrar totalmente la web. Y usar una copia de seguridad mucho mas antigua del ataque que sepamos que no esta comprometida o empezarla desde 0 si no tenemos la seguridad porque a veces entran antes del ataque final. Con las versiones de todo actualizadas. Y tener claro periodicamente que hay que entrar a actualizar o tener un sistema automatizado para que las mas importantes se hagan en cuanto salgan.
 
tasadarf dijo:
No soy un gran experto en estos temas. Pero si que sufri un ataque parecido. Una vez infectada la web por mucho que actualices y la repares el virus o incluso otras puertas traseras es posible que se queden para siempre. Asi que lo suyo es borrarla por completo y volver a una copia de seguridad de hace meses. Ese aviso te sale porque sigue infectada y te intenta meter un virus en tu ordenador.

La manera correcta de actuar es la siguiente.

1- Hacerla inaccesible al publico, para analizarla solo vosotros. En especial las versiones de todo el software utilizado. Por ejemplo si usas gestor de contenidos como Joomla, Extensiones y todas las librerias que usen bases de datos, librerias de seguridad, muchas te salen directamente al entrar a los ajustes de joomla o el gestor que useis. Tambien saber la version del kernel del servidor que se esta usando que tambien se suele visualizar en lo anterior.

2- Analizar si teneis versiones antiguas con fallos de seguridad. Por ejemplo si la version de PHP es 8.0 o inferior puede tener agujeros de seguridad ya que se dejo de dar soporte en octubre 2023 y saber la recomendada es la 8.3 que tiene soporte hasta finales 2026.

3-. Borrar totalmente la web. Y usar una copia de seguridad mucho mas antigua del ataque que sepamos que no esta comprometida o empezarla desde 0 si no tenemos la seguridad porque a veces entran antes del ataque final. Con las versiones de todo actualizadas. Y tener claro periodicamente que hay que entrar a actualizar o tener un sistema automatizado para que las mas importantes se hagan en cuanto salgan.
Hacer clic para expandir...
Hola @tasadarf , y gracias por responder. Perdona que no te haya contestado pero he estado liado con el curro y con poco tiempo para entrar en el foro.

La verdad es que no gestiono directamente la web, pero no han sido capaces de solucionarlo....sigue dando problemas para acceder y con algunas advertencias del antivirus. Propondré realizar lo que propones..

Saludos.
 
Bimbache dijo:
Hola @tasadarf , y gracias por responder. Perdona que no te haya contestado pero he estado liado con el curro y con poco tiempo para entrar en el foro.

La verdad es que no gestiono directamente la web, pero no han sido capaces de solucionarlo....sigue dando problemas para acceder y con algunas advertencias del antivirus. Propondré realizar lo que propones..

Saludos.
Hacer clic para expandir...
No puedes acceder por FTP al servidor que contiene la web y te lo llevas todo por delante?
 
A ver el problema es que si os han entrado en el servidor, han podido modificar múltiples archivos, incluso generado copias de seguridad ya infectadas. Si no es mucho curro lo ideal es borrar y rehacer. En caso de no ser posible, como os han comentado buscar una copia de seguridad bastante anterior ya que realmente no sabéis en que momento accedieron, únicamente sabéis cuando os la han bloqueado. Si tenéis una copia de seguridad fuera del servidor mejor aun. También la base de datos ha podido ser infectada igualmente.

Viendo la ruta del archivo aparentemente infectado, parece que pertenece a la siguiente librería GitHub - pkp/pkp-lib: The library used by PKP's applications OJS, OMP and OPS, open source software for scholarly publishing., el archivo en si es de jquery y no debería ser complicado de restaurar, pero eso no necesariamente solventaría el problema.

Además lo peor es que parece que no sabéis cual ha sido el fallo de seguridad, si ha sido por falta de actualización, por activar un plugin que pudiera tener contenido malicioso, mala configuración del servidor, firewall o permisos de acceso a las carpetas o del acceso a base de datos. No sé si tendréis algún log de accesos al servidor, a la página si es que tenía login, etc.

Yo optaría por empezar de 0.

Saludos
 
Mariogzdz dijo:
A ver el problema es que si os han entrado en el servidor, han podido modificar múltiples archivos, incluso generado copias de seguridad ya infectadas. Si no es mucho curro lo ideal es borrar y rehacer. En caso de no ser posible, como os han comentado buscar una copia de seguridad bastante anterior ya que realmente no sabéis en que momento accedieron, únicamente sabéis cuando os la han bloqueado. Si tenéis una copia de seguridad fuera del servidor mejor aun. También la base de datos ha podido ser infectada igualmente.

Viendo la ruta del archivo aparentemente infectado, parece que pertenece a la siguiente librería GitHub - pkp/pkp-lib: The library used by PKP's applications OJS, OMP and OPS, open source software for scholarly publishing., el archivo en si es de jquery y no debería ser complicado de restaurar, pero eso no necesariamente solventaría el problema.

Además lo peor es que parece que no sabéis cual ha sido el fallo de seguridad, si ha sido por falta de actualización, por activar un plugin que pudiera tener contenido malicioso, mala configuración del servidor, firewall o permisos de acceso a las carpetas o del acceso a base de datos. No sé si tendréis algún log de accesos al servidor, a la página si es que tenía login, etc.

Yo optaría por empezar de 0.

Saludos
Hacer clic para expandir...
Yo revise un problema similar de sitio infectado y opte por mejor depurar todo y rehacer de cero pues no tenían respaldos de la pagina,

Cuando revise en local lo que pude rescatar de la pagina infectada vi que tenían plugins desactualizados encima con muchos problemas de seguridad.

Por eso aproveche y opte por hacerla de cero y usar plugins mas actuales.

Ahora solo se ingresa para revisar la integridad del sitio y actualizar los plugins
 
Hay que estar conectado o registrado para responder aquí.
Arriba