Hola,
El pasado Jueves nos percatamos de que dos webs alojadas en webempresa habían sido hackeadas. En concreto, ocurrió que todos los index.php e index.html de la web tenían un código javascript ofuscado en el inicio del archivo (Adjunto el código en el siguiente archivo
). Una vez limpiados dichos archivos y reestablecidas dichas webs (aunque aún no están en producción) necesitamos conocer qué ha podido pasar para que no vuelva a suceder, ya que en dicho hosting tenemos alojadas 2 webs y preveemos alojar en un futuro muy próximo otras dos.
¿Podríais orientarnos sobre cómo tratar esta situación?
¿Cómo saber si la web está completamente limpia (o cómo limpiar la web tras un ataque)?. La web ya está de nuevo en funcionamiento pero hemos detectado algunos fallos esporádicos por lo que intuimos que pueda existir aún algún problema.
¿Cómo podemos determinar cómo se ha producido el ataque, para evitar otros en el futuro?.
En el foro he visto hablar de un scanner de vulnerabilidades. Me gustaría conocer cómo funcionan y cómo podemos conocer si alguna de nuestras extensiones se encuentra afectada por alguna vulnerabilidad.
He consultado el log del ftp y creo haber encontrado las entradas correspondientes a los accesos ftp de todos los index, por lo que deduzco que puedan haber accedido por el ftp.
Un saludo.
Hola Victor,
Por lo que comentas te han hackeado tu web vía FTP, lo primero que tendrías que hacer sería cambiar las contraseñas de cPanel y cuentas de FTP.
Tienes que logearte en http://gestion.webempresa.eu y realizar los siguientes pasos:
1º Seleccionar la opción de menú Mis Productos y Servicios.
2º Pulsar en la última columna del producto de Hosting que quieres modificar.
3º En el apartado Detalles de Login puede visualizar la contraseña actual de tu cPanel y modificarla.
En el caso que no recuerdes la contraseña de gestion.webempresa.eu puede solicitarla desde aquí:
http://gestion.webempresa.eu/gestion/passwordreminder.php
Luego tendrías que revisar tus equipos o red ya que si han conseguido tu login y password de FTP es que tienes un troyano, sniffer o keylogger en tu equipo o red. Te recomiendo que uses la conexión por FTP SSL para que todos los datos vayan encriptados y no sea visible tu login y password.
Envía un ticket al Departamento de Soporte indicando cuales son tus webs hackeadas para que pasemos un scanner y te digamos si detectamos algún código malicioso.
Lo ideal sería que te bajases una copia de todo tu joomla y lo compares con una copia que tengas limpia para que veas si hay alguna modificación más que se te haya pasado.
Luego te recomiendo que actualices tu joomla y extensiones, revises que todas las extensiones que tengas no sean vulnerables: