Mantengo qtechtheory.org, el sitio web de mi grupo de investigación, que ejecuta Wordpress y está alojado en BlueHost. Aunque hemos recibido inyecciones de PHP durante varias semanas, he mantenido el sitio en vivo ya que no contiene información confidencial, y me ha interesado encontrar la vulnerabilidad.
Ahora, Wordfence informa "un cambio en los registros del servidor de correo electrónico (MX) de su configuración de DNS". Supongo que esto significa que están intentando redirigir qtechtheory.org a su propio sitio, o interceptar / falsificar correos electrónicos a / desde nuestro dominio. Los nuevos registros tienen un dominio en blanco.
Por lo tanto, mis preguntas son
- ¿Qué pueden hacer exactamente ahora?
- ¿Cuánto 'acceso' debe haber tenido para efectuar este cambio? ¿Podría ese acceso realmente ser elevado desde la inyección de PHP en, por ejemplo, algunos plugin?
- ¿Puedo revertir este cambio sin tener que volver a crear el sitio? De lo contrario, ¿se trata de un cambio que persistiría si restaurara una copia de seguridad del sitio?
- ¿Esto indica un problema que no puedo solucionar al eliminar / recrear el sitio de wordpress y que tendré que tratar con BlueHost?
Finalmente, ¿hay algún consejo para encontrar la vulnerabilidad para no volver a crearla? Uso alrededor de 13 complementos, que son demasiados para analizarlos.
EDIT
Encontré una cuenta de SSH de la que no estaba seguro de la función, llamada 'ss-a76cde51202b8a78'. Lo borré después de descubrirlo en el registro de acceso de FTP:
/home2/ldjovumy/public_html/MMprobe-3et5u.php b _ i r [email protected] ftp 1 * c
(nota que no pude encontrar MMprobe-3et5u.php
). El comando fue de IP 52.10.88.182, el mismo reportado en estos ataques . Supongo que eso responde a quién lo hizo.
¡Gracias por la ayuda!