Un sitio que tengo fue hackeado recientemente. La página de índice tenía el siguiente código agregado en la parte inferior (justo encima de la etiqueta del cuerpo de cierre):
<script language="javascript">document.write('<div style="font-family:Tahoma,Arial,Helvetica,sans-serif;font-size:12px;overflow:hidden;color:#FF0000;height:' + (325 * 3 - 974) + 'px;width:' + (18 * 786 - 14147) + 'px;font-weight:bold;margin-top:0px;margin-bottom:0px;">'); </script>
Seguido por...
Montones, montones de etiquetas que van a sitios con spam...
Nuestro servidor tiene instalado suphp, por lo que no creo que haya podido suceder desde otra cuenta. Esta cuenta tiene instalado Wordpress, por lo que ese puede ser el problema.
¿Algún consejo sobre adónde ir desde aquí?
¡Gracias!
Respuesta1
Cambie su inicio de sesión predeterminado de Wordpress y MySQLnombresy contraseñas. Al utilizar los nombres predeterminados, les ha dado a los piratas informáticos la mitad del rompecabezas de credenciales.
Asegúrese de que sus servicios (PHP, WP, MySQL) estén actualizados.
Verifique los complementos de terceros para detectar vulnerabilidades y actualizaciones conocidas (esto incluye bibliotecas y complementos de JavaScript)
Este es un buen comienzo. Ah, y quizás quieras empezar a observar tus registros un poco más de cerca para ver si puedes identificar cómo sucederá esto si vuelve a suceder.
Respuesta2
Lo más probable es que sus registros estén almacenados en /var/log/apache2. Comience a buscar en los registros de acceso. Puedes hacer esto manualmente usando grep o usar una herramienta comocuero cabelludo de apachepara buscar en sus registros exploits comunes.
Respuesta3
Sugeriría instalar el módulo Apache mod_security:http://www.modsecurity.org/.
Además, asegúrese de que el código de su aplicación no sea susceptible aAtaques de inyección SQL.
También verifique las reglas de su firewall y asegúrese de que solo el puerto 80 esté expuesto al público.