Sitios Hackeados con Alfa Shell

El otro día le estaba dando mantenimiento a un sitio de un cliente debido a que tenia un conflicto con un plugin.

El procedimiento era un procedimiento sencillo que consiste en desactivar todos los plugins y activarlos uno por uno hasta dar con el plugin problematic o.

Una vez que hallé el culpable, me tome algunos minutos para revisar que había en esa instalación de Wordpress y me encontré con algo extraño.

Habían dos carpetas sospechosas, que no pertenecen a la instalación de Wordpress.

Los nombres me hacen pensar que estas fueron creadas por un algún hacker por lo que fui a Google para ver si habían reportes de un ataque con esas características.

En la búsqueda logré ver que hay otros sitios tambien han sufrido estos ataques.

Si escribes lo mismo, vas a encontrar que ese archivo no siempre se encuentra en la raíz del sitio

Sucuri en su blog explica muchos detalles sobre este WebShell y concluye lo siguiente:

ALFA TEaM Shell ~ v4.1-Tesla contiene muchas características útiles para un atacante y también está pulido en términos de su interfaz. Lo que es especialmente interesante es observar la evolución de la herramienta y ver qué características se han agregado con cada nueva versión.

Esto también ayuda a que alguien tenga una idea de lo que es importante para un atacante, no solo desde la perspectiva del propietario del sitio web.

ALFA TEaM Shell ~ v4.1-Tesla: A Feature Update Analysis

¿Cómo Luce el WebShell?

Así luce el Webshell en uno de los sitios atacados.

Sucuri indica que los hackers pueden usar estos sitios para atacar otros sitios ya que es mucho mejor atacar sitios desde sitios de terceros que atacar desde sitios propios.

Sucuri se refirió a este punto en su análisis del Shell de Alpha Teams

No tienen que crear, mantener y envejecer un dominio y, en cambio, pueden obtener acceso no autorizado a un sitio web de terceros vulnerable, es mucho más eficiente para ellos.

ALFA TEaM Shell ~ v4.1-Tesla: A Feature Update Analysis

Si quieren saber más sobre esta herramienta, puedes examinar los detalles en GitHub

Después de ver el video oficial, quede impresionado con la herramienta y como esta puede ser usada para obtener los credenciales del CPanel de alguién.

https://youtu.be/K4-CtvzRdjw

Lo Interesante de Todo Esto

Estos son algunos detalles interesantes sobre los sitios hackeados

  • Lo primero es que hay sitios que probablemente tengan este problema y que no se han percatado de ello.
  • Lo segundo es que el sitio tenia WordFence Premium y este nunca alertó de la presencia de este WebShell.
  • Lo tercero es sencillo y es que si tomas decisiones tontas que comprometen la seguridad de tu sitio, no hay plugin gratuito o premium que te rescate.
  • El cuarto hecho interesante es que hay personas que creen que limpiar un sitio es simplemente instalar un scanner de Malware y listo. O aprendes a limpiarlo de verdad o le pides a alguien que sabe lo que esta haciendo que lo haga por ti.

Entradas Relacionadas

Estas son algunas entradas relacionadas con el tema de seguridad de Wordpress

  1. Contraseñas Seguras en WordPress
  2. ¿Qué es un Gestor de Contraseñas?
  3. Bloquear un Proveedor de Hosting por ASN
  4. Reseña sobre WordFence: Gratis y Premium
  5. Reseña Sobre el Plugin BBQ Pro
  6. 9 Errores Comunes de Seguridad en WordPress
  7. Remover Backdoors de tu Sitio WordPress
  8. Hacker con Acceso Remoto a tu Sitio
  9. Esconder la Versión de WordPress: ¿Sirve de Algo?
  10. Ataques de Fuerza Bruta: ¿Qué Hacer?