Estoy casi seguro de que el sitio de wordpress de mi (nuevo) cliente ha sido pirateado. La página de inicio está bien, pero todos los subdirectorios de la página se cargan con contenido muy incompleto que parece inyectado en la página. Pero aquí está el truco: SÓLO sucede para los usuarios de las redes AT & T LTE. Todas las demás conexiones de red no se ven afectadas y reciben un sitio completamente no pirateado. He triple comprobado esto. Incluso Sucuri es aparentemente engañado por esto (regresando completamente limpio).
Algunos detalles
- Ocurre en todos los dispositivos conocidos, Android, iPhone, iPad, incluso computadoras portátiles, siempre y cuando estén atados a una conexión AT&T TTE.
- Si tomo el MISMO dispositivo y me conecto a WiFi y recargo la página pirateada, devuelve el contenido original no pirateado.
- Si luego me desconecto de Wifi (y me pongo en AT & T LTE) y vuelvo a cargar, la página completa cambia y recibo la página pirateada nuevamente. Mientras tanto, la URL permanece igual. Verizon no se ve afectado.
Tengo acceso al registrador y al host del sitio y todo parece estar bien en ambos lugares. DNS no ha sido cambiado. Además, la página de índice está bien, así que no creo que sea un problema de DNS. Como he dicho, he ejecutado comprobaciones de sucuri (completamente limpias).
Es difícil para mí entender la motivación que tendría un pirata informático para apuntar solo a los usuarios de AT & T LTE, y mucho menos cómo se llevaría a cabo. Me doy cuenta de que es amplio y está fuera del alcance, pero espero que esta pregunta no sea: suponiendo que todo sea posible, ¿es esto un hack probable ? ¿Cómo puedo determinar si esto es realmente un hack, o algo así como un problema de secuestro o almacenamiento en caché de DNS? Si es hackeado, ¿qué pasos puedo seguir para detectar esto y limpiarlo?
Me complace enviar la URL a cualquier persona si quieres verla por ti mismo, pero no publicar aquí por razones obvias. ¡Aprecio tu ayuda!
ACTUALIZACIÓN: Marqué una respuesta a continuación, ya que la respuesta cubría bien ambas posibilidades, pero para aquellos que se preguntan, esto fue un truco. Limpié todo el sitio de forma sistemática (todo menos el DB) y el problema desapareció. Es muy interesante que el hack engañó a Sucuri y todos los demás escáneres, y solo se dirigía a los usuarios móviles de AT&T.