Sólo texto | Texto con Imágenes

Underc0de

Foros Generales => Dudas y pedidos generales => Mensaje iniciado por: skazy en Diciembre 23, 2015, 04:25:39 PM

Título: Consulta Web
Publicado por: skazy en Diciembre 23, 2015, 04:25:39 PM
Hola a todos.!
Soy nuevo en el foro, me llamo la atencion los temas que aquí discuten, y bueno me gustaria pedirles su apoyo sobre algo....
La cuestión es de una pagina que tengo, me reportaron que no podían acceder por lo que la verifique y fui al cpanel para ver qué había sucedido  sucede que los días 20 y 21 se enviaron alrededor de 2000 correos electrónicos......raro porque en la cuenta no se han creado cuentas de correo y al revisar el historial parece que se crearon varias cuentas de correo y se enviaron a varias cuentas de quien sabe quien sean todo esto sin autorización y solo yo tengo los datos de acceso.
Las preguntas aquí son:
¿Creen que el sitio está intervenido? y ¿ Que me recomiendan hacer?
Espero me puedan ayudar con esto
(No se si sea la sección Correcta)

Saludos y felices fiestas.  :D
Título: Re:Consulta Web
Publicado por: ANTRAX en Diciembre 23, 2015, 04:58:41 PM
Hola,

Lo que se me viene a la cabeza es que han montado un mailer en tu server y los días 20-21 aprovechan para mandar newsletters/letters para hacer phishing.
Lo que te recomiendo es que revises bien todos los archivos que tienes subido en tu host para verificar de que sean los tuyos

Saludos!
ANTRAX
Título: Re:Consulta Web
Publicado por: blackdrake en Diciembre 23, 2015, 08:40:47 PM
Totalmente de acuerdo con @ANTRAX (https://underc0de.org/foro/index.php?action=profile;u=1),

Lo que yo haría, sería lo siguiente:

- Verificar todos los ficheros, muy posiblemente hayan un backdoor/shell.
- Eliminar las cuentas de correo que han creado.
- Cambiar los datos de acceso al cpanel.
- Revisar logs de posibles accesos ilegítimos (bruteforce, vulnerabilidad web etc...).

Saludos.
Título: Re:Consulta Web
Publicado por: EPSILON en Diciembre 24, 2015, 12:29:16 AM
Si lo mas probable es que este intervenido y lo estén usando para spamear.  Desde ya vas a tener que cambiar las claves de ftp, del hosting,el panel de admin. y de la base de datos también, si contas con un backup borra todo y subilo de nuevo si no vas a tener que revisar archivo por archivo fijándote si no dejaron algún backdoor (puerta trasera) entre tus archivos  para ganar acceso al servidor, o si hay algún archivo "raro" subido, y por ultimo y no menos importante corregir el error por donde se obtuvo  el acceso si no van a volver a entrar, te recomiendo ver los logs del server para ver por donde se entro y si fue por alguna variable corregirla con alguna funcion.

Saludos!
Sólo texto | Texto con Imágenes