Atencion, de intres General: Me han secuestrado las bases de datos

[Josep Maria]

Buenas a toda la comunidad,

Éste es un mensaje de suma importancia para toda la comunidad. Hoy mientras estaba haciendo labores de migración de versión de prestashop de golpe se me ha quedado la web en blanco, al intentar loguearme en el panel de plesk me era imposible y he tenido que resetear para recuperar la contraseña de administrador de plesk, una vez pude entrar me he llevado la gran sorpresa desagradable de que en mis bases de datos de phpmyadmin habian vaciado las tablas de cada base de datos dejando una sola tabla nombrada como "WARNING" y cuando entré en ella pude comprobar que me estaban pidiendo un rescate en bitcoins para devolverme las bases de datos, o sino  no las devolvían y las borraban

Me di cuenta al momento que mientras estaba haciendo labores de migración, debía de haber dejado alguna puerta abierta por la cual los ciberdelicuentes debieron escanear con algún sofware malicioso para explotar alguna vulnerabilidad.🤬

Por suerte, tengo la costumbre de hacer copias de seguridad y ya he conseguido levantar la tienda otra vez, me han echado al traste 3 días de faena, pero siempre es mucho mejor que todos los años de trabajo que llevo haciendo con mi tienda prestashop.

CONSEJO MUY IMPORTANTE

Les aconsejo a todo el mundo que hagan copias de seguridad con asiduidad y además tomen todas las precauciones para blindar sus hostings, a mi me la han colado estos malditos ciberdelincuebtes pero por suerte me he podido escapar recuperando los backup, pero a quienes no tengan costumbre de hacerlo, les pueden dar un disgusto tremendo y echar al traste todo, (Eso o pagar el rescate claro).

Normalmente tomo precauciones, pero no sé como narices han entrado por phpmyadmin y se han llevado las bases de datos. Yo ahora estoy intentando poner candados en donde se me ocurre, pero no sé si me estoy dejando algo que se me pueda pasar...

A alguien más le ha pasado ésto?
Algún consejo para blindar más el hosting?

[Rolige]

Hola:

Lo primero es revisar los access log de tu servidor porque, a menos que hayas compartido algunas credenciales de FTP por ahí o hayas instalado algún modulo no certificado con código malicioso, debes tener bastantes registros de intentos de acceso desde alguna IP o rango de IPs específica. Todas las contraseñas deberias cambiarlas, incluida la de la BD, backoffice y FTP y ademas bloquear las IP problemáticas en caso de que aplique.

Suerte

[gusman126]

Y algo importante!

Avisa a todos los clientes que cambien las contraseñas. usa algun email que encuentres de ejemplo de facebook, movistar o otra empresa.

Debes avisarlo por ley de proteccion de datos.

 

[Josep Maria]

On 4/23/2019 at 4:23 PM, Rolige said:

Hola:

Lo primero es revisar los access log de tu servidor porque, a menos que hayas compartido algunas credenciales de FTP por ahí o hayas instalado algún modulo no certificado con código malicioso, debes tener bastantes registros de intentos de acceso desde alguna IP o rango de IPs específica. Todas las contraseñas deberias cambiarlas, incluida la de la BD, backoffice y FTP y ademas bloquear las IP problemáticas en caso de que aplique.

Suerte

Si, he mirado los logs y aparentemente no hay muchos registros repetidos, tampoco he compartido la contraseña, a excepción de los técnicos a los que he comprado algún módulo para prestashop y rectificar alguna cosa, no creo que venga de ahi la cosa pero tampoco puedo poner la mano en el fuego...
he cambiado contraseñas , back office, php myadmin, bases de datos, y acceso por SSH, y he reinstalado completamente desde cero el sistema operativo linux Centos para descartar que haya algun archivo infectado con código malicioso,

he puesto un certificado SSL Wilcard en mi dominio y subdominios por si acaso, (tenia un SSL de 1 dominio y he ampliado al Wildcar)
no sé que más se me ocurre si me dejo algo, pero bueno, insisto, yo me he podido escapar de esto pero les aconsejo muy encarecidamente a todo el mundo que lea éste post que tome todas las precauciones necesarias, ésto por desgracia (la ciberdelincuencia) cada día siempre va a más...