Tema: Me violaron el blog (SOLUCIONADO)

[dmacias]

Bueno, pues aqui vengo a contaros lo que me ha pasado hoy, asi me aconsejais y opinais que toda ayuda que evnga es buena, vamos por el comienzo.

Hoy entro a mi blog como cada dia y cuando voy a loguearme no puedo hacerlo, mi usuario y contraseña no van, entonces molesto a Liamngls y a Dabo con mensajes por que supongo me "violaron" el blog y así ha sido.

Luego de intercambiar mensajes con Dabo me dice que mi servidor tiene graves problemas de seguridad, me dice justamente esto:

Hola, no te preocupes, me pillas casi saliendo ahora. Lo primero y lo más fácil ¿has probado a recuperar el password? es por no dar nada por hecho

http://www.dmaciasblog.com/wp-login.php?action=lostpassword

Veo que tienes wordrpress 3.8 así que no creo que sea por un bug de wp (quizás algún plugin?)

Por otro lado, según veo con whatweb quizás esa versión de PHP sea la culpable o el propio Cpanel

./whatweb dmaciasblog.com

http://dmaciasblog.com [301] Cookies[wptouch-pro-cache-state], Country[LITHUANIA][LT], HTTPServer, IP[212.1.210.112], PHP[5.3.28], RedirectLocation[http://www.dmaciasblog.com/], X-Powered-By[PHP/5.3.28], x-pingback[http://www.dmaciasblog.com/xmlrpc.php]
http://www.dmaciasblog.com/ [200] Cookies[wptouch-pro-cache-state], Country[LITHUANIA][LT], HTML5, HTTPServer, IP[212.1.210.112], JQuery[1.10.2], MetaGenerator[WordPress 3.8.1], OpenGraphProtocol[website], PHP[5.3.28], PoweredBy[WPtouch:], Script[text/javascript], Title[Blog personal sobre tecnología], WordPress[3.8.1], X-Powered-By[PHP/5.3.28], X-UA-Compatible[IE=edge], x-pingback[http://www.dmaciasblog.com/xmlrpc.php]

Pero ahora con Nmap veo temas ahí que no molan (ese MySQL, etc)

Not shown: 982 filtered ports
PORT     STATE  SERVICE  VERSION
20/tcp   closed ftp-data
21/tcp   open   ftp      Pure-FTPd
22/tcp   closed ssh
25/tcp   open   smtp     Exim smtpd 4.82
26/tcp   closed rsftp
53/tcp   open   domain
80/tcp   open   http?
81/tcp   open   http     Apache httpd
110/tcp  open   pop3     Dovecot pop3d
143/tcp  open   imap     Dovecot imapd
443/tcp  open   ssl/http Apache httpd
465/tcp  open   ssl/smtp Exim smtpd 4.82
587/tcp  open   smtp     Exim smtpd 4.82
993/tcp  open   ssl/imap Dovecot imapd
995/tcp  open   ssl/pop3 Dovecot pop3d
2196/tcp closed unknown
3306/tcp open   mysql    MySQL 5.1.72-cll

Empiezo a hacer cosillas y como por suerte puedo entrar a cpanel, edito la base de datos y cambio la contraseña para poder entrar al panel de control de wordpress. Hasta aqui bien.

Luego de largo rato mirando cosas, cosas que no me van como deben y cosas raras, veo que en el directorio raiz hay un archivo un poco sospechoso ( un poco  ) Anonyme.php con el siguiente contenido:

Código: [Seleccionar]

<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="content-type">
<title>Hacked By Anonyme XTn</title>
</head>
<script> alert("!!OWned By FallaG Anonyme :p !! ")</script>
<body style="background-color: black; color: rgb(0, 0, 0);"
alink="#ee0000" link="#0000ee" vlink="#551a8b">
<div style="text-align: center;">
<h1 style="font-family: Aharoni;"><big><span style="color: white;"><span
style="color: red;">HACKED</span> <span
style="color: rgb(63, 253, 0);">BY</span> ANONYME XTN</span></big></h1>
<img style="width: 700px; height: 307px;" alt=""
src="http://www.ml0k.org/up/201401/images/1b605ead50f18d.jpg"><br>
<big style="font-family: Raavi;"><big><span
style="color: white; font-weight: bold;">_______________________</span></big></big><br>
<br>
<br>
<img style="width: 364px; height: 270px;" alt=""
src="http://www.ml0k.org/up/201401/images/32c066fd29eb18.jpg"><br>
<h2
style="font-family: Hobo Std; color: rgb(63, 253, 0); font-weight: bold;"><a
href="https://www.facebook.com/falleg.anonyme" target="_blank">Contact
Me</a></h2>
<br>
</div>
<embed src="http://cdn.top4top.net/d_d5ce11246a1.mp3" id="MediaPlayer1" autostart="true" loop="true" hidden="true" height="72" width="333">
</body>
</html>
digo voilaaaaaaaaaa pero que e setooooo 

Voy a la direccion del archivo en mi navegador y zas!!!! algo bonito





Aquí es cuando empiezo a acojonarme de verdad
Y vuelvo a molestar a Dabo ya mas que para consejo, para saber si ando metido en algun lio mas gordo.

Me dice que no me preocupe de nuevo, que reinstale wordpress como antaño y vamos que nos vamos. Tambien me da el link de una entrada de su blog, la cual deberia de haber puesto en practica hace mucho.

Ahora voy a ver si arreglo este desbarajuste reinstalando wordpress ( o si no lo rompo mas, que todo lo que toco lo rompo ultimamente, menos Debian Liamngls  )y ya luego me pongo a securizarlo a fondo, para lo que me hareis falta, así que no iros lejos jajajaja 

[Liamngls]

Si te descuidas te lo hackea  Dabo de nuevo 

[dmacias]

Ya, pero el habla cristiano, a el le dejo 

[dmacias]

Bueno, ya empezamos con la odisea de edecentar el blog y ya tengo el primer problema gordo

reinstale wordpress desde 0 como me dijo dabo, he instalados varios plugins y he ido haciendo los que estos me recomendaban para mejorar la seguridad, todo iba bien e incluso lo tenia casi listo se puede decir y me da por crear un usuario para dejar de usar admin y zas!!! al crear el usuario todo se ha ido al traste, el blog no arranca.

He de decir que funcionaba todo perfecto ya, menos el apartado de los usuario, que me marcaba 1 admin, 2 colaboradores, y 10 suscriptores, pero realmente solo existia el usuario admin, osea que entraba en la pestaña donde dice 10 suscriptores y me salia vacia, ningun usuario.

Andare mirando la BD haber si veo algo, mientras a alguien se le ocurre que puede estar pasando

Un saludo

[Liamngls]

A ver, a ver, no nos estemos complicando demasiado la vida para tonturas 

El usuario admin no necesitas eliminarlo, el propio Wordpress te permite asignarle un alias que para el caso es lo mismo. Pero de todos modos con una contraseña fuerte, un máximo de intentos de login que bloquee a cualquier atacante y poco más puedes securizarlo lo suficiente.

De hecho puedes asignarle una IP al usuario admin y nadie podrá loguearse (ni el mismo admin) desde otra distinta, http://ayudawordpress.com/seguridad-wordpress/ plugin número 10.

¿Cuándo dices que el blog no arranca te refieres a que no funciona nada de nada o a que no puedes loguearte?

[dmacias]

Ya lo solucione eso  era el plugin acunetix creo que se llama, lo instalo y funciona, pero al rato cuando entro al blog no me lo carga, solo una pantalla blanca y mira que esta bueno ese plugin.

Lo he descubierto porque con la pantalla en blanco en el blog, iba renombrando las carpetas de los plugins por ftp y probando el blog de nuevo y cuando llegue a ese funciono de nuevo y perfecto, ya lo he probado varias veces y siempre pantalla blanca en el blog, no se porque 

Ya lo tengo listo todo lo que puedo tocar, solo me falta cambiar el usuario admin que ya me dio el antojo de cambiarlo y asi hare.

Luego vere como puedo hablar con el que gestiona el servidor haber que me dice del escaneo que me hizo dabo y ya pues no puedo hacer mas

Solo esperar que no pase mas jajajaa.

Si alguno quiere y no va a romper nada, puede probar de nuevo a hacer una intentona, asi me dice de donde cojea. Ya que estoy liado seria lo suyo

Un saludo