Hacking - I think I have been hacked From Online Manual

Jump to: navigation, search

¡Creo que he sido Hackeado!. ¿Cómo lo compruebo?

Si alguno de sus archivos php comienza con algo que no sea <?php solo en la línea, o si un experto advierte que alguno de sus archivos ejecutables ha sido infectado con un código malicioso, debe sospechar mucho. Si su sitio envía inesperadamente a los usuarios a otro sitio web o genera ventanas emergentes inesperadas, si los usuarios informan que su sitio genera una advertencia de malware o si alguno de sus archivos tiene una fecha de modificación más reciente de lo que esperaba, consulte a un experto rápidamente.

Estoy seguro de que me han pirateado, ¿qué hago ahora?

En primer lugar, mantenga la calma. Cuando el foro ha sido pirateado, hay algunos pasos simples que debe seguir el administrador. La mayoría de las infecciones se pueden eliminar en solo unos minutos.

  • Si puede hacerlo rápida y fácilmente, Cierre su sitio web temporalmente para evitar que ocurran más errores mientras soluciona el problema. Consulte las instrucciones a continuación para obtener sugerencias sobre cómo hacerlo. Si no puede cerrar su sitio, omita este paso y continúe para solucionar del problema.
  • Revise su computadora en busca de malware

Un virus en su PC podría haberle dado al hacker su contraseña o haber subido un archivo a su sitio web.

  • Cambie todas sus contraseñas

Aún no sabe si alguna de ellas ha sido robado. Eso incluye a todos los administradores de SMF, cuentas de ftp, usuarios de telnet/ssh, Panel de Control de Alojamiento, Base de Datos e incluso correo electrónico. Si no puede iniciar sesión en su cuenta de administrador de SMF, consulte a continuación cómo solucionar el problema. Si no sabe cómo cambiar la contraseña de su Base de Datos o cualquier otra contraseña asociada con su cuenta de Servidor, obtenga ayuda del personal de su Servidor contratado.

  • Haga Copia de Seguridad de sus archivos y Base de Datos (incluso de los archivos infectados) y guárdelos en un lugar seguro.

Esto es importante. Necesita tener una copia de su Base de Datos en caso de que se presente algún problema. Necesita una copia de seguridad de su directorio de archivos adjuntos, ya que no puede recuperar esos archivos si los elimina accidentalmente. Si tiene otros directorios de archivos personalizados, como una galería o almacenamiento de documentos, también debe protegerlos incluyéndolos en su Copia de Seguridad. Necesita tener copia de todos los archivos SMF, para que usted o alguien más pueda descubrir cómo fue pirateado anteriormente. Guarde los archivos de copia de seguridad en un lugar seguro. Si está utilizando FTP para copiar los archivos de copia de seguridad, asegúrese de utilizar el modo binario.

  • Digale a su Servidor que has sido pirateado.

Hágales saber acerca del problema. Pídales que verifiquen los archivos de registro para averiguar de dónde pudo provenir el ataque. Preste atención a lo que le recomiendan para eliminar la infección. Pregúnteles si el malware ha dejado algún proceso en ejecución en el Serevidor.

  • Presente un informe de seguridad en SMF.

Si cree que el hacker entró explotando SMF, repórtelo de inmediato en informes de seguridad. Esté preparado para compartir información sobre sus archivos y los registros de su cuenta, de modo que los desarrolladores de SMF puedan determinar si la causa fue una vulnerabilidad en SMF y cómo reparar SMF si fuera necesario.

  • Eliminar todos los archivos excepto los archivos adjuntos y los directorios de avatares personalizados (tenga mucho cuidado porque los archivos infectados pueden estar allí). Asegúrese de que sus archivos de respaldo estén almacenados en un lugar seguro y que no se eliminen. Pida ayuda si no está seguro. Además de sus archivos SMF, debe eliminar cualquier archivo php "extra" y es posible que deba eliminar archivos .htaccess, archivos php.ini u otros archivos de configuración. Hable con su Servidor sobre esto. Si no puede eliminar un archivo, hable con su Servidor sobre cómo solucionar el problema.
  • Reemplace todos sus archivos SMF con archivos no infectados.
    • Es más seguro utilizar un conjunto nuevo de archivos SMF en lugar de una copia de seguridad de archivos reciente. Solo use Su Copia de Segiuridad si está 100% seguro de que no está infectada.
    • Para obtener un nuevo conjunto de archivos de la misma versión de SMF que ya está utilizando,siga estas instrucciones.
    • Si tiene directorios personalizados (como un directorio de mod de galería), verifíquelos dos veces ahora.
    • Obtenga una copia del archivo Settings.php de su copia de seguridad de archivo reciente, edítela para corregir la contraseñas que acaba de cambiar y coloque una copia en su directorio SMF.
    • Verifique los permisos de su archivo SMF. Asegúrese de que estén seguros. Pregúntele a su Servidor si no está seguro de cómo deben estar.
    • Parchée o actualice SMF a la versión más reciente y segura.
    • Vuelva a instalar sus mods. Userepair_settings si tiene algún problema.
    • Haga Copia de Seguridad de sus archivos otra vez.
  • Cambie de nuevo todas tus contraseñas. Ahora que la infección ha sido eliminada, se recomienda cambiar todas tus contraseñas nuevamente en caso de que se las hayan robado de nuevo antes de terminar la eliminación de la infección.
  • Haga que su sitio web vuelva a funcionar.

He limpiado mi instalación SMF pirateada. ¿Cómo puedo evitar que esto vuelva a suceder?

Mantenga su software SMF actualizado descargando nuevas versiones siempre que haya soluciones de seguridad disponibles (versiones disponibles). Aplicar algunos de los Consejos de Seguridad, los cuales pueden ayudarle a proteger su foro de cualquier otro ataque.

Utilidades que puede Usar

Si su contraseña de Admin no funciona

Revise Reseteo de la Contraseña de un Usuario Admin para averiguar cómo volver a configurar su contraseña y pueda volver a usar su cuenta. Inicie sesión, cambie la contraseña nuevamente y vuelva a verificar la dirección de correo electrónico. Asegúrese de haber cambiado la contraseña de su Base de Datos y la contraseña del correo electrónico. Si la cuenta de administrador ya no tiene permisos de administrador, o si la cuenta se eliminó, lea detenidamente ¡Accidentalmente Perdí mi cuenta de administrador! ¿Qué puedo hacer? Para más consejos de ayuda.

Cierre de su sitio Linux/Apache

Si puede modificar su archivo .htaccess y si su sitio usa el servidor web Apache con mod_rewrite instalado, puede cerrar su sitio usando estos dos archivos. Primero, haga una copia de su archivo .htaccess y guárdelo en un lugar seguro. Luego reemplácelo con el siguiente y cree un archivo llamado maintenance.html en el mismo directorio. Si su sitio no utiliza el servidor web Apache, este método no funcionará. Si no puede encontrar su archivo .htaccess, o si este cambio en su archivo .htaccess no cierra su sitio, obtenga soporte de su Servidor.

.htaccess

# Enables runtime rewriting engine
RewriteEngine on

# Show maintenance page to visitors
#RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111 # except if they come from this IP (commented out)
RewriteCond %{REQUEST_URI} !/maintenance.html$
RewriteRule $ /maintenance.html [R=503,L]

maintenance.html

<html>
<head><title>This site is undergoing maintenance</title></head>
<body>This site is undergoing maintenance</body>
</html>

Cierre de su sitio de Windows

Si está utilizando el servidor web IIS y tiene la restricción de ipsecurity para direcciones IP y nombres de dominio instalada y habilitada, guarde una copia de web.config , reemplácelo con el siguiente y reinicie su servidor web IIS.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.web>
        <identity impersonate="false" />
    </system.web>
    <system.webServer>
        <security>
            <ipSecurity allowUnlisted="false">
                <clear/>
<!--                <add ipAddress="111.111.111.111" allowed="true" /> --> <!-- Adding your own IP address would allow you to use the website, but might be dangerous to you... -->
            </ipSecurity>
        </security>
    </system.webServer>
</configuration>