problemas de hacking cuenta reseller

Buenas tardes a todos los que ven éste tema.
Escribo porque tengo un problema de seguridad con mi cuenta reseller Hosting, y quisiera saber si alguien tiene idea de solucionarlo, si le ha llegado a pasar o si sabe dónde se puede encontrar informacion al respecto.

Tengo una cuenta reseller de Hosting, pero desde hace unos días, alguien ha hackeado la cuenta de hosting y sitios Web de todos mis usuarios, ha cambiado archivos html y php, ha colocado avisos en varias páginas de los sitios Web, y ha dañado la página que aparece cuando se ingresa al e-mail por webmail, pues ha puesto un aviso, cuando debería aparecer la bandeja de entrada, ahora no se puede ingresar ni por RoundCube ni por ninguno de los otros clientes de correo Web. mi sitio web tambien lo cambió. he cambiado claves, he borrado un supuesto archivo virus, incluso se cambio de servidor y de IP, pero aún sigue crackeando todo.
Por favor, si alguien sabe qué hacer en estos casos, bienvenido sea.
Gracias

 

No hay una respuesta concreta a esa pregunta sin examinar el servidor primero.

Habla con tu proveedor, el es quien mejor te puede ayudar.

 

Si tienes una vulnerabilidad en alguna parte (servidor web, aplicacion php, sistema operativo), por mucho que cambies de servidor la llevarás contigo.

Ejecuta el Rootkit Hunter a ver qué te dice:
http://www.rootkit.nl/projects/rootkit_hunter.html

 

Hola, gracias por ver mi mensaje. pues ya he hablado con mi proveedor, pero no me soluciona nada, y lo unico que me dice es lo que ya sé, que vulneraron la seguridad. Lo que se necesita saber es cómo lo hicieron y que solución aplicar, pues no sé mucho de eso, y desde el panel que uno tiene, no se puede hacer practicamente nada.

 

Insisto,

Para estas cosas, una de dos, o tienes un servicio gestionado o tienes un administrador de sistemas,

 

Hola. una pregunta, cómo ejecuto el programa en el servidor ?

 

La pregunta también la hago yo: ¿qué hosting reseller es? ¿Dedicado? ¿VPS?
¿Y quién gestiona ese dedicado/vps? ¿Quién es 'root' en todo esto?

 

No, no es ni dedicado ni vps, el compartido normal. Yo sólo tengo el cpanel para mi sitio y el WHM para crear las cuentas de mis clientes (mas cuentas cpanel). ¿acceso por root?, no sé bien exactamente qué tipo de acceso, aunque creo que no tengo acceso así. Lo unico es que puedo ingresar a las carpetas home mía y de mis clientes. quisiera mirar qué se puede hacer allí, pues el correo tambien está mal, ya que cuando se ingresa por web, cuando deberia aparecer la bandeja de entrada, aparece es una pagina que el atacante puso, y no sé como volver a restablecer eso. Gracias por la ayuda.

 

Entonces coincido con idesamultiples, si tú sólo accedes como usuario a la máquina, no tienes posibilidad de hacer mucho, a menos que el problema de seguridad esté en las aplicaciones que usas (actualiza las versiones).
Es necesario que la persona que administra la máquina física (el propietario de la cuenta de usuario "root") investigue el problema, porque podría afectar a todos los clientes y resellers que existan en esa máquina.
Sin duda, lo veo como un problema algo grave, no por el daño que ha hecho, sino por el que puede hacer todavía. Creo que el administrador del servidor debería de preocuparse de su servidor.

Por otro lado, desde fuera de la máquina y sin más datos, no podemos darte mucha más ayuda

 

Hola gracias. en el caso de que se tuviese ese acceso root, cuál seria los pasos a seguir, y cómo los realizo?. A ver si por lo menos le digo a mi proveedor que haga, porque el pareciera que no sabe qué hacer.
Con respecto a la informacion adicional, qué mas se necesitaría saber para hacer algo ?. gracias.

 

Acceder a través de SSH, descargar el programa y ejecutarlo para que haga un escaneo, no tiene nada de complicado. Durante el escaneo te detectará si hay algún programa "raro".

Por otro lado hay que revisar las aplicaciones web que usas, para comprobar que estén actualizadas. Si por ejemplo usas wordpress versión 1.2 y van por la 1.4, la actualización, por lo general, corrige problemas de seguridad como los que te han explotado a ti.

¿Qué aplicaciones son las que tienes? ¿y qué mensaje o qeu web te muestra en tus sitios web?

 

pues tengo aplicaciones sencillas como un formulario de contacto, pero hay otro sitio que es sólo html. La página que puso, es una sencilla en html que el mismo atacante ha hecho, poniendo su nombre, e-mail.

 

Si tienes acceso a root, deberías contratar un administrador que sepa por donde empezar, tu pregunta es mas o menos equivalente a: "Tengo la llave del transbordador espacial, como hago para ir a la luna".

Si no tienes acceso a root, es decir una cuenta de reseller, habla con tu proveedor, si te da largas, cambia de proveedor.

 

Entre esto y la panadería de Apolo ya tengo respuesta para todo

 

hola. entonces la pregunta sería en éste caso, ¿cómo se si tengo acceso a root?.

 

Si tienes un plan reseller, no creo que tengas acceso root. Me temo que es tu proveedor el unico que puede hacer algo para solucionarlo. De todas formas, podrías poner alguna dirección de alguna de tus webs hackeadas, por si así es posible ver como lo han hecho y tal vez sea más fácil ayudarte.

 

voy a preguntarle a mi proveedor a ver si tengo el acceso, pero me gustaria aprender cómo se ingresa por modo "root".
Si es posible, me gustaría saber, cómo hago para adquirir una cuenta reseller, que tenga habillitadas las opciones de root, y la de restauracion de cuentas cpanel desde el WHM. Es decir, tener una cuenta reseller con más controles sobre mis clientes y mis páneles. Fuera de los VPS y dedicados, pues son muy caros y no tengo tantos clientes para sostenerlo.
en éste sitio de abajo verán el mensaje que aparece, puesto por el atacante. hay otros que los he eliminado para volverlos a montar, es practicamente lo unico que se me ocurre, aunque me imagino que después volvera a crackearlos.

zonaenconstruccion.com

Gracias de antemano por la atencion prestada.

 

pues si, al parecer han crackeado varios sitios web, incluso de otras personas, estuve mirando un servicio de reversi ip lookup, y hay varios sitios con el mismo aviso. Ya le dije a la persona que me cambiase de server, además de volver a montar las web, pero quedo con la duda de realmente cómo evitar el ataque en un futuro, pues mínimo me va volver atacar en la otra máquina.
Voy a decirle a ver si en los logs puede encontrar info y hacer algo al respecto.

Gracias a los que me ayudaron. Ojalá éste tema queda disponible, para los que sepan más a fondo del tema, puedan publicar cómo evitar ésto, y cómo se puede recuperar sin perder tanta informacion como sea posible.

 

En realidad si el ataque fue al servidor y vos como resellers mucho no vas a poder evitar ya que con el control del servidor tienen acceso a todo Incluso sitios y tus paneles.

Asi que mas que putear al cielo o alguien mas no vas poder hacer. A lo sumo reclamarle algun regalo o bonificacion al que te da el servicio a modo de resarcimiento.