Negro/Blanco Terminal Verde Terminal Naranja Blanco/Negro Commodore C64

Ataque por admin vago

Imagen de Ataque por admin vago

Debería existir una definición para esto :D porque me encontré con una especie de ataque básico, muy básico pero que creo que puede llegar a ser muy efectivo.

De pronto tenía muchos 404 de IPs que no eran precisamente de habla hispana, Vietnam, Tailandia, Indonesia, ya saben, esos IP que seguro estan usando bots para reventar tu sitio, lo que encontré en el referer lo hizo más interesante...

Vean una muestra de ejemplo:

https://fabio.com.ar/123456.tar.gz
http://fabio.com.ar/123456.tar.gz
https://fabio.com.ar/2019.tar.gz
http://fabio.com.ar/2019.tar.gz
https://fabio.com.ar/host.tar.gz
https://fabio.com.ar/old.tar.gz
https://fabio.com.ar/bkp2018.tar.gz
https://fabio.com.ar/www2019.tar.gz
https://fabio.com.ar/www.tar.gz
https://fabio.com.ar/4.tar.gz
http://fabio.com.ar/4.tar.gz
https://fabio.com.ar/site2018.tar.gz
https://fabio.com.ar/1.tar.gz
https://fabio.com.ar/backup2018.tar.gz
https://fabio.com.ar/sql2016.tar.gz
https://fabio.com.ar/backupadm.tar.gz
https://fabio.com.ar/bd2017.tar.gz
https://fabio.com.ar/dbbackup.tar.gz
http://fabio.com.ar/1.tar.gz
https://fabio.com.ar/2017.tar.gz
https://fabio.com.ar/wp.tar.gz
http://fabio.com.ar/2017.tar.gz
https://fabio.com.ar/admin2018.tar.gz
https://fabio.com.ar/woo.tar.gz
https://fabio.com.ar/woocom.tar.gz
https://fabio.com.ar/woocommerce1.tar.gz
https://fabio.com.ar/woocommerce.tar.gz
https://fabio.com.ar/restore.tar.gz
https://fabio.com.ar/ftp.tar.gz
https://fabio.com.ar/files.tar.gz
https://fabio.com.ar/admins.tar.gz
https://fabio.com.ar/shop2019.tar.gz
https://fabio.com.ar/db2018.tar.gz
https://fabio.com.ar/opencart2018.tar.gz
https://fabio.com.ar/Admin.tar.gz
https://fabio.com.ar/livecom.tar.gz
https://fabio.com.ar/2017com.tar.gz
https://fabio.com.ar/backup2017%5basDomaincom%5d.tar.gz
https://fabio.com.ar/backup%5basDomaincom%5d2019.tar.gz
https://fabio.com.ar/%5basDomaincom%5d4.tar.gz
https://fabio.com.ar/backup18.zip
https://fabio.com.ar/scripts.zip
https://fabio.com.ar/magentobcup.zip

Había más, muchos más, pero el patrón es el mismo en todos los casos, estan buscando archivos con backups subidos directamente en el raíz del sitio, como haría un admin vago.

Así es señores! este es un ataque muy, muy, MUY sencillo pero así de efectivo porque sólo debe lidiar con si se encuentra o no el archivo, nada de hackear, nada de inyectar código, es mucho mejor buscar un backup.

¿Por qué?

Pues bien, si el backup tiene datos de conexión, por ejemplo el wp-config.php de un Wordpress, es fácil conectarse a la base de datos, está el server, el usuario y la contraseña en texto plano!

Con eso es fácil entrar a un phpmyadmin y tomar control total del sitio sin siquiera haberlo hackeado.

Muchos guardan los backups en una carpeta accesible por cualquiera desde una url creyendo que porque la url es desconocida nadie podría llegar a suponerla. Pero ese es el error.

La mejor forma es que el backup no esté accesible y podamos entrar a su carpeta ya sea con un password o por SFTP, pero no directamente escribiendo una simple url.

Estimo que estos orientales probaron alguna vez esto y les dio resultado, no lo harían si no fuese así, y me parece un recurso barato y fácil de implementar.

Volver al inicio Ver original
copyright©2026 Fabio Baccaglioni - Fabio.com.ar - Versión simplificada Old School