Opened 2 years ago

Closed 22 months ago

#11936 closed Bug/Something is broken (fixed)

problemas con sitio junax.org.mx

Reported by: https://id.mayfirst.org/jaimev Owned by: https://id.mayfirst.org/jaimev
Priority: Medium Component: Tech
Keywords: wordpress compromise Cc: https://id.mayfirst.org/carloseugenio, junax@…, cosmos.fermin@…
Sensitive: no

Description

En los logs del sitio juna.org.mx vi una serie abnormal de peticiones POST a al sitio junax.org.mx. Al investigar encontré varios archivos que parecen ser maliciosos. Intenté mover lo que pude a una nueva carpeta "cuarentena" en el home de usuario junax pero por la cantidad no cabe duda que el sitio es comprometida y probablemente seguirán multiplicando. Por lo pronto he tenido que deshabitar la configuración web de este sitio para detener los daños.

En mi experiencia no será suficiente actualizar wordpress sino sería necesario mover el sitio actual a cuarentena, instalar un wordpress completamente nuevo, y solo copiar los archivos antiguos a la nueva instalación después de revisarlos minuciosamente.

Jaime

Attachments (1)

Screenshot at 2016-08-28 18:35:02.png (43.8 KB) - added by https://id.mayfirst.org/carloseugenio 22 months ago.

Download all attachments as: .zip

Change History (15)

comment:1 Changed 2 years ago by https://id.mayfirst.org/carloseugenio

Me parece bien aislar y congelar el sitio. Recién les escribí para saber quién maneja el sitio web porque creo se los montó alguien que estuvo temporalmente y ahora creo que nadie lo maneja. Aún debo confirmar eso y esperaré su respuesta para ver con ellas si reconstruimos todo o qué piensan. Estaremos al pendiente.... mientras tanto está bien redireccionado a floriberto.

comment:2 Changed 2 years ago by https://id.mayfirst.org/carloseugenio

Estoy intentando explicar a Junax el asunto a través de correos electrónicos.

Creo que aún no he logrado explicarme bien para saber quien maneja el sitio web.

Me mandaron una muestra de lo que les ha estado llegando por decenas: De esta direcciòn es que entraron mas de un centenar de mail devueltos.....


Subject: Undelivered Mail Returned to Sender Date: 2016-07-18 13:47 From: MAILER-DAEMON@… (Mail Delivery System) To: junax@…

This is the mail system at host paulo.mayfirst.org.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The mail system

<estefania.arreguin.zarate@…>: host

antispam.iberopuebla.mx[192.100.196.219] said: 554 rejecting banned content (in reply to end of DATA command)

Delivery report

Reporting-MTA: dns; paulo.mayfirst.org X-Postfix-Queue-ID: 8953F3F38 X-Postfix-Sender: rfc822; junax@… Arrival-Date: Mon, 18 Jul 2016 14:47:01 -0400 (EDT)

Final-Recipient: rfc822; estefania.arreguin.zarate@… Original-Recipient: rfc822;estefania.arreguin.zarate@… Action: failed Status: 5.0.0 Remote-MTA: dns; antispam.iberopuebla.mx Diagnostic-Code: smtp; 554 rejecting banned content

Undelivered Message

comment:3 Changed 2 years ago by https://id.mayfirst.org/jaimev

  • Owner set to https://id.mayfirst.org/jaimev
  • Status changed from new to assigned

Son mensajes de rebote, de correos rechazadso. ¿Eston correos son respuestas a correos que ellos enviaron?

comment:4 Changed 2 years ago by https://id.mayfirst.org/jaimev

¿Ha habido algún avance sobre este ticket? ¿Los integrantes de de junax han podido revisar este página?

comment:5 Changed 2 years ago by https://id.mayfirst.org/carloseugenio

No estoy en San Cristobal por unos días así que desconozco. Creo que no utilizan su sitio web, así que dificilmente verán que no funciona. Sugiero dejarlo inactivo aunque no sé si lo adecuado sea redireccionar a floriberto. Tal vez un texto que indique: "Por el momento el sitio de junax no está funcionando."

Podemos cerrar el ticket y cuando hable con ellas personalmente retomamos el asunto.

Fraterno, Carlos Eugenio

comment:6 Changed 22 months ago by https://id.mayfirst.org/carloseugenio

Hola... retomando el ticket. Estoy en la oficina de Junax. No hay contacto con quien hizo el sitio. Las compañeras tampoco tienen cómo acceder a sus archivos. Si puedes mandarles la forma de acceder o si me pones en owncloud un comprimido con el sitio para descargarlo y revisarlo aislado de internet para rescatar el contenido y montarlo en un nuevo web. De cualquier modo, si necesitaremos el acceso a panel de control para después reconstruir el sitio. Te agradezco si puedes ayudarnos. Fraterno carlos eugenio

comment:7 Changed 22 months ago by https://id.mayfirst.org/jaimev

Hola Carloseugenio Gracias por tu ayuda con este tema. ¿pueden probar entrar al panel de control con el usuario junax y la misma contraseña que usan para revisar su correo?

Jaime

comment:8 Changed 22 months ago by https://id.mayfirst.org/carloseugenio

Perfecto.... gracias. Ya entré y estoy descargando archivos para revisar. De entrada es clara una carpeta con contenidos raros. Probaré reconstruir con un wordpress actualizado. Tengo una duda: mayfirst no tiene forma de identificar esas infiltraciones hasta que ya estén metidas? es problema de version vieja de wordpress con vulnerabilidad? Porque ahora reconstruyo, pero cómo evitar que vuelva a suceder? Gracias por tu rapidez. :-)

comment:9 Changed 22 months ago by https://id.mayfirst.org/jaimev

Estamos en etapa de prueba de la implementación de modsecurity para apache para poder filtrar algunos tipos de ataques. La mejor mejor defensa es mantener el wordpress actualizado y plugins actualizado, limitar el uso de plugins, y revisar su tema actual y base de datos para cualquier detalle fuera de lugar.

comment:10 Changed 22 months ago by https://id.mayfirst.org/carloseugenio

  • Resolution set to fixed
  • Status changed from assigned to closed

Changed 22 months ago by https://id.mayfirst.org/carloseugenio

comment:11 Changed 22 months ago by https://id.mayfirst.org/carloseugenio

  • Cc cosmos.fermin@… added; borrego.patricia@… removed
  • Priority changed from High to Medium
  • Resolution fixed deleted
  • Status changed from closed to assigned

Estimado Jaime... tengo que reabrir el ticket. Respaldamos todo el sitio. Hemos recuperado la información. Estamos reconstruyendo con un wordpress actualizado. En los próximos días lo pondremos en el sitio pero.....

  1. no puedo eliminar lo anterior porque propietario es junax y mi usuario es webjunax me tomará días volver a ir a Junax por lo que solicito si puedes borrar TODO.
  2. Hay un archivo raro sobre la carpeta web: web-info.php que no veo su función. Tal vez sea necesario en la estructura del sitio... si no es así, también eliminar.
  3. Desconozco en dónde está el redireccionador a floriberto. Puse un index.html provisional pero no lo acepta.

Podrías ayudarnos? fraterno, CE

Adjunto detalle en donde encontré el web-info.php

comment:12 Changed 22 months ago by https://id.mayfirst.org/carloseugenio

Mi lap tenía aún en memoria el acceso de junax, así que pude ingresar al panel de control, aunque no puedo ver la contraseña. No encuentro ninguna otra forma de acceder a los archivos desde panel de control.

En "Hosting order access" integré a webjunax pero eso no logra autorizarme para borrar archivos.

Había olvidado eliminar las tablas desde phpmyadmin en floriberto. Ya está limpio.

Sigue pendiente el eliminar todos los archivos antes de poner un wordpress nuevo.

comment:13 Changed 22 months ago by https://id.mayfirst.org/jaimev

Acabo de borrar los archivos para ti. Desde su panel de control en la pestaña de configuración web, borré completamente su configuración existente y creé un nuevo configuración web ahora asegurando que los archivos serían propiedad de usuario webjunax para que no tengas problemas manejar la instalación con este usuario cuando vuelvas a crear el nuevo sitio.

comment:14 Changed 22 months ago by https://id.mayfirst.org/carloseugenio

  • Resolution set to fixed
  • Status changed from assigned to closed

Gracias.... ya verifiqué.

Todo en orden. Podemos continuar con el montaje. Cualquier duda reabro el ticket.

fraterno, CE

Please login to add comments to this ticket.

Note: See TracTickets for help on using tickets.