URGENTE - Consulta sobre posible hackeo

Monde es
#1

Hola, en el sitio que estoy re armando tvsalta.com, desde el dia de ayer no puedo ingresar ya que se queda como autodirigiendo a la direccion rutare.es, despues de muchos intentos a veces puedo ingresar. La dirección a la que apunta es desconocida por mi. En el servidor si subo cualquier index.html y re nombro el index.php a index2.php se carga el html sin ningún problema, Pensé que el problema estaba en squelletes-dist (algún código malicioso) subo el squelettes-dist que viene por defecto y sigue el mismo problema. Al principio pensaba que era en la parte publica del sitio, pero ahora también me da el mismo problema en la parte privada.
Alguien sabe al respecto que puede estar sucediendo? a alguno le paso lo mismo? Conoce alguien alguna posible solución?

Gracias

Naturalsoft - Adrián Rosas
Lavalle 694 Depto 2 | Salta | Argentina.
C.P. 4400
0387.154123444
naturalsoft@gmail.com
MSN: webmaster@naturalsoft.com.ar
SKYPE: adrian.rosas.portal

#2

Por decir algo. …

.htaccess ???

El 26/03/2014 21:01, « NATURALSOFT » <naturalsoft@gmail.com> escribió:

Hola, en el sitio que estoy re armando tvsalta.com, desde el dia de ayer no puedo ingresar ya que se queda como autodirigiendo a la direccion rutare.es, despues de muchos intentos a veces puedo ingresar. La dirección a la que apunta es desconocida por mi. En el servidor si subo cualquier index.html y re nombro el index.php a index2.php se carga el html sin ningún problema, Pensé que el problema estaba en squelletes-dist (algún código malicioso) subo el squelettes-dist que viene por defecto y sigue el mismo problema. Al principio pensaba que era en la parte publica del sitio, pero ahora también me da el mismo problema en la parte privada.
Alguien sabe al respecto que puede estar sucediendo? a alguno le paso lo mismo? Conoce alguien alguna posible solución?

Gracias

Naturalsoft - Adrián Rosas
Lavalle 694 Depto 2 | Salta | Argentina.
C.P. 4400
0387.154123444
naturalsoft@gmail.com
MSN: webmaster@naturalsoft.com.ar
SKYPE: adrian.rosas.portal

Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

#3

Adrian,

No em ha pasado algo así, pero por lo que dices es un ataque, lo que yo haría es:

  1. Cambiar la contraseña del servicio de hosting (control panel o lo que sea), así como la del FTP

  2. Comunicarme con mi proveedor de hosting y pedirle ayuda, describiendo lo que se sepa del ataque

  3. Asegurarme que no haya afectaciones a la base de datos, si las hay recuperar el sitio con la copia de seguridad de la base de datos, si no la tienes "#@¬~*^

  4. Borrar manualmente toda la carpeta /tmp y toda la carpeta /local

  5. Actualizar el SPIP y todos los plugins, activar la pantalla de seguridad

  6. Revisar los permisos de todas las carpetas

  7. Revisar todos los esqueletos en busca de código malicioso, o, aun mejor subir la copia de seguridad de los esqueletos y reemplazar la versión que está en el sitio en producción

  8. Si después de hacer todo esto y asegurarte que tu sitio está andando y las deficiencias de seguridad se han compensado, aun te quedan energías, puedes buscar un correo en el sitio que se beneficia del ataque y mentarles la madre, o mejor reportarlos como un sitio atacante ante su proveedor de hosting

Espero que tengas tiempo libre,

Germán