P: Necesita ayuda para entender el sitio pirateado que solo afecta a los usuarios de AT&T LTE

3

Estoy casi seguro de que el sitio de wordpress de mi (nuevo) cliente ha sido pirateado. La página de inicio está bien, pero todos los subdirectorios de la página se cargan con contenido muy incompleto que parece inyectado en la página. Pero aquí está el truco: SÓLO sucede para los usuarios de las redes AT & T LTE. Todas las demás conexiones de red no se ven afectadas y reciben un sitio completamente no pirateado. He triple comprobado esto. Incluso Sucuri es aparentemente engañado por esto (regresando completamente limpio).

Algunos detalles

  1. Ocurre en todos los dispositivos conocidos, Android, iPhone, iPad, incluso computadoras portátiles, siempre y cuando estén atados a una conexión AT&T TTE.
  2. Si tomo el MISMO dispositivo y me conecto a WiFi y recargo la página pirateada, devuelve el contenido original no pirateado.
  3. Si luego me desconecto de Wifi (y me pongo en AT & T LTE) y vuelvo a cargar, la página completa cambia y recibo la página pirateada nuevamente. Mientras tanto, la URL permanece igual. Verizon no se ve afectado.

Tengo acceso al registrador y al host del sitio y todo parece estar bien en ambos lugares. DNS no ha sido cambiado. Además, la página de índice está bien, así que no creo que sea un problema de DNS. Como he dicho, he ejecutado comprobaciones de sucuri (completamente limpias).

Es difícil para mí entender la motivación que tendría un pirata informático para apuntar solo a los usuarios de AT & T LTE, y mucho menos cómo se llevaría a cabo. Me doy cuenta de que es amplio y está fuera del alcance, pero espero que esta pregunta no sea: suponiendo que todo sea posible, ¿es esto un hack probable ? ¿Cómo puedo determinar si esto es realmente un hack, o algo así como un problema de secuestro o almacenamiento en caché de DNS? Si es hackeado, ¿qué pasos puedo seguir para detectar esto y limpiarlo?

Me complace enviar la URL a cualquier persona si quieres verla por ti mismo, pero no publicar aquí por razones obvias. ¡Aprecio tu ayuda!

ACTUALIZACIÓN: Marqué una respuesta a continuación, ya que la respuesta cubría bien ambas posibilidades, pero para aquellos que se preguntan, esto fue un truco. Limpié todo el sitio de forma sistemática (todo menos el DB) y el problema desapareció. Es muy interesante que el hack engañó a Sucuri y todos los demás escáneres, y solo se dirigía a los usuarios móviles de AT&T.

    
pregunta timshutes 06.12.2017 - 04:12
fuente

1 respuesta

7

¿Está el servidor de la página sobre https? Si no, podría ser AT & T interceptar e inyectar anuncios. Consulte enlace donde lo están haciendo en puntos de acceso WiFi para http y https

En cuanto a la situación en la que un pirata informático hizo esto, varios piratas informáticos intentan restringir el conjunto de personas que ven el contenido malicioso para extender el tiempo en el que no son detectados. La orientación a operadores de telefonía móvil específicos parece que no valdría la pena el esfuerzo a menos que el atacante tenga rencor contra AT & T.

    
respondido por el David Waters 06.12.2017 - 05:01
fuente

Lea otras preguntas en las etiquetas