Foro

Ayuda Webmaster contra ataque hacker (o virus) a website

Otros lugares, otras opciones :: Sin clasificar :: Ayuda Webmaster contra ataque hacker (o virus) a website

Este hilo ha sido cerrado.
06/01/2018, 18:20

Muy buenas gente. Hace unos meses y sin tener ni idea realmente de donde me metía, me hice con un dominio y comencé mi andadura en la creación de una web. La verdad es que, para no tener ni idea, no me voy a quejar de como la voy llevando, a pesar del parón que he tenido y que sigo sufriendo de manera generalizada.

Veréis, la web está creada con wordpress, tengo metido el pluging Wordfence (versión free) para protegerla de hackers y demás... pero llevo más de 32 horas recibiendo ataques en la web y de paso, mensajes de "copia y pega" válidos para cualquier tiro de página web, con diferentes IPs (distintos paises), donde solo se repite un nombre una vez de los 12 mensajes recibidos y con distintas direcciones de correo. En común tienen que vienen con un enlace a un site de +18 el cual no voy a molestarme en mirar si es fraudulento o no, pues creo saber la respuesta sin tener que entrar y cuyo domino también varía con cada comentario dejado.

Los comentarios no son nada del otro mundo. La verdad es que si llega a dejarlos repartidos por la web, con nombres de usuario mejores que xhamster, japanxxx y sin el enlace a las webs porno, si hubiese dado por buenos y verdaderos los mensajes. Pero esa es la ventaja que tengo. Si no los apruebo, quedan en la carpeta de spam (donde estan muy monos), pero me gustaría saber si hay alguna otra manera de proteger el sitio, parar el ataque loco de medio mundo contra mi web y si sabéis si se aburrirá de darme la brasa... que es muy cansino.

Os dejo una muestra del tráfico en directo según Wordfence. Es así a cada enlace de la web y de vez en cuando trata de meterle un archivo que es bloqueado de inmediato. Cambié las IP por xx.xxx.xxx.xx:

Russia Moscow, Russia visited https://www.casper-crump.com/tag/royal-en/

6/1/2018 18:13:44 (2 minutes ago)   IP: xx.xxx.xxx.xx [block]   Hostname: xx-xxx-xx-xx.spider.yandex.com
Browser: undefined
Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)
 
 
6/1/2018 18:11:31 (4 minutes ago)   IP: xx.xxx.xxx.xx [block]   Hostname: xx.xxx.xxx.xx.spider.yandex.com
Browser: undefined
Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)
 
 
Russia Russia tried to access non-existent page https://www.casper-crump.com/xmlrpc.php
6/1/2018 18:05:40 (10 minutes ago)   IP: xx.xxx.xxx.xx [block]   Hostname: xx.xxx.xxx.xx.spider.yandex.com
Browser: undefined
Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)
 
 
6/1/2018 18:03:45 (12 minutes ago)   IP:xx.xxx.xxx.xx [block]   Hostname: msnbot-xx.xxx.xxx.xx.search.msn.com
Browser: undefined
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
 
 
6/1/2018 18:01:44 (14 minutes ago)   IP: xx.xxx.xxx.xx [block]   Hostname: xx.xxx.xxx.xx.spider.yandex.com
Browser: undefined
Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)
 
 
6/1/2018 18:01:40 (14 minutes ago)   IP: xx.xxx.xxx.xx [block]   Hostname:xx.xxx.xxx.xx.spider.yandex.com
Browser: undefined
Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)
 
 
6/1/2018 17:58:04 (17 minutes ago)   IP: xx.xxx.xxx.xx [block]   Hostname: ipxx.xxx.xxx.xx8.eu
Browser: undefined
Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)
 
 
6/1/2018 17:57:56 (17 minutes ago)   IP: xx.xxx.xxx.xx [block]   Hostname: xx.xxx.xxx.xx.eu
Browser: undefined
Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)
 
06/01/2018, 18:24
Editado: 06/01/2018, 18:27

Si no estoy errado, esto lo hacen bots. Si tienes un formulario de registración, se soluciona con colocar un captcha que suelen brindarte los dominios o puedes encontrarlos en internet como plugins instalables. También con obligar a confirmación vía eMail a las cuentas y restringir la posibilidad de posteo a los visitantes o cuentas no confirmadas.

Verás, el bot está programado para visitar la página y postear donde pueda hacerlo. Si lo obligas a registrarse colocando un captcha, el campo no sabe cómo llenarlo, porque de automático rellena los que suelen ser usuario, contraseña, eMail, ubicación, etcétera, etcétera. Pero un captcha como es algo random, no reconoce qué escribir. Mucho menos sabe confirmar su cuenta via eMail.

06/01/2018, 18:36

Lo que más me raya es esto:

Filter Traffic:

   Show Advanced Filters
United States Columbus, United States was blocked by firewall for Malicious File Upload (PHP) at http://casper-crump.com/wp-content/plugins/dzs-portfolio/upload.php
6/1/2018 14:32:32 (3 hours 56 mins ago)   IP: xxx.xxx.xx.x [block]   Hostname: ecxxx.xxx.xx.x.us-east-2.compute.amazonaws.com
Browser: undefined
SeaMonkey/9.14 (OS 10.5 4.7; fr_BE;)
 
 
6/1/2018 13:44:43 (4 hours 44 mins ago)   IP: xxx.xxx.xx.x [block]   Hostname: xxx.xxx.xx.x
Browser: undefined
Opera/15.9 (Fedora 3.7; hr_HR;)
 
 
6/1/2018 13:42:08 (4 hours 47 mins ago)   IP: xxx.xxx.xx.x [block]   Hostname: g95030.upc-g.chello.nl
Browser: undefined
Seamonkey/9.12 (Arch Linux 4.1; en_PH;)
 
 
Netherlands Netherlands was blocked by firewall for Malicious File Upload (PHP) at http://casper-crump.com/wp-content/plugins/dzs-portfolio/upload.php
6/1/2018 13:41:43 (4 hours 47 mins ago)   IP: xxx.xxx.xx.x [block]   Hostname: xxx.xxx.xx.x
Browser: undefined
TenFourFox/3.16 (Nokia 1.1; ar_TN;)
 
 
6/1/2018 13:41:38 (4 hours 47 mins ago)   IP: xxx.xxx.xx.x [block]   Hostname: xxx.xxx.xx.x
Browser: Mobile Safari UIWebView version 0.0 running on iOS
Konqueror/18.2 (iPad 7.5; et_EE;)
 

Esto (que hace unos 10 min eran 44 ataques bloqueados no 45 y si te fijas jamás me ha pasado hasta hoy):
 

Firewall Summary - Attacks Blocked for www.casper-crump.com

Lo del captcha lo descarté en su día, pero veo que al final me tocará ponerlo, con lo aburridos que son...

  • < >
    45
    Today
    45
    Week
    45
    Month

     

    Top 5 IPs Blocked

    IP Country Block Count
    186.227.8.21 Brazil   BR 3
    110.77.233.44 Thailand   TH 2
    5.45.207.77 Russian Federation   RU 1
    180.254.219.66 Indonesia   ID 1
    61.187.251.235 China   CN 1

    Update Blocked IPs

    Top 5 Countries Blocked

    Country Total IPs Blocked Block Count
    Netherlands   NL 8 8
    United States   US 8 8
    Thailand   TH 4 5
    Brazil   BR 2 4
    Russian Federation   RU 2 2

    Update Blocked Countries

    Que es todo de hoy

06/01/2018, 18:41
Editado: 06/01/2018, 18:42

¿No estará el dominio siendo blanco de varios ataques de bots y por regla de tres entras en el saco? Con el captcha o confirmación vía eMail dejarán de postear al menos, pero más allá de eso creo que corre por cuenta del dominio y quizá ellos te puedan informar mejor.

También es cierto que estos bots rondan la web a diario buscando páginas. Yo recuerdo tener una donde todas las semanas uno se registraba hasta que puse 1 captcha y 1 pregunta estilo ¿2+2? (4).

Numen
 
06/01/2018, 19:01

Prueba a instalar Akismet Anti-Spam, es un poco farragoso de instalar pero, por mi parte, he notado una disminución gorda del spam con él. Por otro lado, todo lo que pueda saltarse, lo solventas con un captcha, como dice Alukala. Entre los dos, todo limpio.

En todo caso, ten en cuenta que Wordpress tiene muchas cosas buenas, pero tambien de los mayores agujeros de seguridad y es objetivo continuo de ataques de bots, así que todo lo que puedas meter por protegerte, mejor. No se cual es el objetivo de tu web, pero si es algo tipo portafolio, muestra de trabajos, etc. te sale más a cuenta bloquear los comentarios nativos de wordpress.

06/01/2018, 19:09

Estos mensajes son más... completos:

Hello ?ust wanted to give you a quick heads up. The words in your
content seem to be running off the s?reen in Opera.

I’m not sure if this i? a formatting issue or ?omething to do ?ith browser
compatibility but I thought I’d post to let ?ou kno?.
The layout look great though! Hope you get the problem
f?xed soon. Many thanks

H?y I am so excited I found your web site, I really found you
by mistake, whil? ? was looking on Gοogle for something el?e, Anyways I
am here now and would just like to say thanks for a f?ntastic post and
a all round thrilling b?og (I also love the th?me/design),
I don’t have time to ?ead through ?t all at the minute but I hav? book-marked it and also included
your RSS feeds, so when I have time I will be back to read more, Plea?e do ?eep up the fantastic work. 

Este me escamó:

He? there are using WordPress for your site pl?tform?
I’m new to the blog world but I’m trying to get started and
set up my own. Do ?ou require any coding expert??e to
make your own blog? Any help would be r?ally appreciated!

Este igual, más que nada porque era de argentina:

We ar? a gaggle of volunteers and starting a brand new scheme in our communit?.
Your webs?te offered us with valuable info to work on. You have performed an ?mp?essive ?rocess and our w?ole community will
probably be thankful to you.

No son mensajes raros en sí, pero los dejaron todos en el mismo sitio, por eso me saltaron las alertas.

Y sí, por eso pedía ayuda, por el ataque en general, el spam no me preocupa demasiado, como dije, lo superviso y lo borro o apruebo según deba hacerlo.

Prueba a instalar Akismet Anti-Spam

 Se lo tengo puesto, es quien me bloquea todo y donde miro si lo dejo pasar o no ;)

La verdad es que yo no tuve problemas al ponerlo...

La web es un fansite de un actor danés, poco conocido aún fuera de su entorno. Para quienes vean Arrow, Flash o Legends of Tomorrow, pues si les resultará conocido. Para el resto... lo dudo.
Por eso dejo los comentarios abiertos, por si alguien quiere añadir algo o preguntar lo que sea.

Lilit
 
06/01/2018, 19:15

¿Usas un plugin llamado dzs o algo así? Si no me equivoco el bot anda probando diversas rutas típicas en busca de formularios o directorios con la seguridad mal configurada, vulnerabilidades donde colar sus telas de araña, pero parece que no tiene mucho éxito en los intentos. Por cierto, no tacharía de ataque dedicado la visita de 45 bots en esos intervalos prolongados de tiempo, tendrían que ser centenares o miles de visitas en muy corto periodo de tiempo, lo que enlazas parecen los típicos bots que visitan las webs en general.

Eso si, no dejes el formulario de comentarios abierto, necesitaría apoyarse en algún sistema de registro de usuarios o el mencionado captcha. Y si, las citas que acabas de pegar huelen bastante a bot.

06/01/2018, 19:32

Para dejar comentarios tengo puesto lo de poner mail y nombre. Acabo de configurar tambien el nocaptcha recaptcha para los comentarios.

El plugin dzs no lo conozco y no tengo ninguno con un nombre similar instalado. La verdad es que tengo lo justito para funcionar y no volverme loca. en cuanto al ataque, antes de entrar aquí y pedir ayuda, estuve mirando por internet y parece un ataque DDoS, aunque no entiendo que sentido tendría tirar un site como ese abajo, salvo que sea un novato tratando de hacerse un nombre...

Por eso preguntaba, por saber si podía pararlo con algo más.

De todas formas, gracias por la ayuda, no está cayendo en saco roto ;)

 

Lilit
 
06/01/2018, 21:23

Lo comentaba porque el bot estaba tratando de acceder a rutas vinculadas a dicho plugin, seguramente estuviera haciendo pruebas en las rutas predeterminada que usan los plugins más famosetes, buscando vulnerabilidades. Suelen actuar de esta manera así que no tiene mayor importancia.

Los ataques DDoS implican un número masivo de conexiones para saturar el servicio, 45 accesos en diversas horas son poquitos para ser ese tipo de ataque. Mientras el número de acceso de dichos bots sea tan escueto creo que no merece la pena preocuparse.

07/01/2018, 13:09

Muchas gracias a los/as tres por la ayuda. El bombardeo de bots continua, pero los ataques en sí quedaron en 45 y el catcha quedó al final del formulario.

Los ataques DDoS implican un número masivo de conexiones para saturar el servicio

Cuando me fui a la cama, me di cuenta de mi error pensando en ese ataque, aunque si podría decir que es un supermini DDoS xDDDD

Pero bueno, de todo se aprende ^^

Gracias de nuevo :)

Señores Cuervos, cuando quieran, pueden cerrar este hilo. :D

07/01/2018, 18:13

Venga va... ya son 70 ataques en total bloqueados, 25 en un par de horas. Alguien se aburre mucho :/

Lilit
 
07/01/2018, 18:22

jajaja te estás rayando con los bots :P

A medida que la web genere más tráfico seguramente irá en aumento el número de visitantes provenientes de matrix, estos van de web en web, no es que alguien se halla propuesto fastidiarte. Si lo que tienes es un hosting web usual con que mantengas el wordpress actualizado debería ser suficiente.

07/01/2018, 18:46

Canada Montreal, Canada was blocked by firewall for Malicious File Upload (PHP) at http://casper-crump.com/wp-content/plugins/dzs-vid...

Puedo entender bots que rastreen y demás, pero ya que traten de meter archivos Maliciosos pues... como que da por saco (de esos tengo muchos más, 25 seguros XD). La web no recibe tantas visitas diarias como para que todo esto ande tan... loco.

Pero si, quizás me esté rayando con los bots, pero es normal... mi primera web (chispas) mi primera situación anormal en ella... :P

08/01/2018, 00:08

Una cosa es la seguridad y otra el spam. Con el plugin akismet solucionas un 90% del spam. El 10% restante lo tienes que corregir a mano activando la opción de que los comentarios los tienes que validar tu.

La mayoría de los bots evitan las webs en donde los comentarios se revisan.

Este hilo ha sido cerrado.