Pregunta Oleada de Phishing web

carlosjl91

Navegante

Registrado
9 Oct 2023
Mensajes
73
Qué tal, chicos?

Estoy experimentando desde hace varias semanas un phishing recurrente en las web que ando gestionando. Todos los ataques tienen el mismo procedimiento, es decir, primero crean un propietario en Google Search Console y, de forma paralela, instalan un plugin en WordPress para administrar los archivos y colocar archivos maliciosos.

Por suerte, tengo copias de seguridad de todas mis web y las he salvado sin problema, pero me inquieta lo que está ocurriendo y necesito saber si alguno de vosotros estáis viviendo algo igual. Como dato a destacar, en todas esas webs tenía acceso el cliente y, por ello, no tenía el 2FA activo, pero me resulta muy curioso que entren en Google Search Console.

¿Qué pensáis? ¿Creéis que hay algo que esté pasando por alto?
Muchas gracias!!
 
Mi consejo es que asegures desde el .htaccess, el index.php y el wp-config.php, siempre atacan desde lo mismo. Por temporadas hacen esas cosas, otra cosa fundamental, no guardes contraseñas de tus clientes en edge o chrome.
 
Hay algun tutorial en youtube para esto?
Fácil que sí, pero lo mejor sería que busques en web referente al tema, sea de WordPress mismo o seguridad web, ya que algunas de estas medidas también sirven para webs hechas en HTML.

Te dejo un poco de info que podria ayudarte para comenzar:
htaccess:

wp-config:

A ello sumar el prefijo de la base de datos de WordPress, si comienza con wp_ , es una web fácil de atacar, habría que cambiar ese prefijo, con mucho cuidado.
 
Ya solucioné el problema. Les cuento por si a alguien más le pasa.

Como los análisis con Wordfence no eran suficientes, descubrí que la infección provocaba la restauración inmediata de un .htaccess desde donde el atacante podía entrar continuamente. El problema estaba en la raíz de WordPress, de manera que borré la Base de Datos, también el WordPress y lo creé todo nuevamente.

Como tenía una copia de seguridad, la volqué y ya veo muchos menos archivos en el administrador. Todo quedó limpio y saneado, menos mal que contaba con ese backup.

Espero que les ayude si en algún momento les pasa algo parecido.
 
Gracias por la info. Hace un tiempo me pasó que me pasaban webs porque Google rechazaba los anuncios por detectar archivos maliciosos en estas páginas. Parece que lo hacen por temporadas.
 
Ya solucioné el problema. Les cuento por si a alguien más le pasa.

Como los análisis con Wordfence no eran suficientes, descubrí que la infección provocaba la restauración inmediata de un .htaccess desde donde el atacante podía entrar continuamente. El problema estaba en la raíz de WordPress, de manera que borré la Base de Datos, también el WordPress y lo creé todo nuevamente.

Como tenía una copia de seguridad, la volqué y ya veo muchos menos archivos en el administrador. Todo quedó limpio y saneado, menos mal que contaba con ese backup.

Espero que les ayude si en algún momento les pasa algo parecido.
ninguna precaución esta de mas !!
 
Yo he visto este tipo de oleadas y el procedimiento que sigo es el siguiente:

1.- si puedes entrar al panel de control de WordPress desde tusitio/wp-admin y te deja acceder con usuario y contraseña, ve en este orden checa entradas si hay entradas no conocidas bórralas, a veces hablan de publicidad casinos enlaces etc.

2.- ve a comentarios y si hay comentarios en otros idiomas o raros bórralos ( tanto en el punto 1 como en el 2 recuerda vaciar la papelera de reciclaje para eliminarlos definitivamente) en caso de que sean muchos puedes instalar un plugin bulk para borrar en masa comentarios o publicaciones (tener cuidado con lo que se borra)

3.- Ir a apariencia y temas y borrar todos los temas que no sean el principal, a veces se instalan temas corruptos y por alli se filtran.

4.- ve directo a los usuarios y elimina los usuarios creados que no conoces a veces aparecen con este estilo: wp_admin, super admin, super editor, y todos ellos siempre se raquean como administradores a veces acompañados de correos extraños.

5.- en la sección de plugins busca plugins extraños que no hayas instalado a veces aparecen de manera extraña y otras se instalan plugins desconocidos que tienen que ver como files upload o csss and java code o asi por el estilo estos elimínalos.

6.- una vez hecho esto ve a el administrador de archivos del lado del host y en la carpeta public_html busca en la carpeta principal archivos extraños o duplicados, en wp-content busca dentro la sección de plugins y elimina los residuos o busca archivos como .dir que también son virus si no aparecen pues esta todo bien. (desde aquí también se pueden eliminar los plugins que no te deje desde el wordpress.

7.- el método de borrar todo incluiria hacer estas labores e instalar un plugin del tipo: all in one wp migration y realizar un respaldo ( yo también haria un respaldo manual de los archivos y la base de datos) para posteriormente borrar todo e instalar un nuevo wordpress limpio y volver a instalar el all in one wp migration y cargar el respaldo hecho que se genero con el mismo plugin.

Aunque la triste historia es que aveces aun con todo esto siguen intentándolo. mi recomendación es revisar los plugins que sean originales y mantenerse atento. monitorear el sitio con los pasos del 1 al 6. esta historia es larga. yo estoy implementando algunos plugins de seguridad que tambien pueden reducir los ataques. All In One WP Security & Firewall. es gratis..
 
Volver
Arriba Abajo