Alguien ingresó a mi cuenta cPanel sin autorización
De pronto despiertas un día y descubres que tu sitio web fue reportado por sospecha de malware en google safe browsing, tu página web presenta errores, redirecciona a sitios sospechosos y tienes directorios y archivos creados en /public_html en tu cuenta cPanel que no sabes de donde salieron.
Bienvenido, tu cuenta de cPanel fue atacada. El primer paso para resolver un problema es aceptar que lo tienes y es real. Ahora, ¿cómo puedes solucionarlo, que opciones tienes?, mira al horizonte, respira profundo, prepárate un café y vamos a resolverlo.
Los pasos a continuación te ayudarán a restablecer la confianza en tu fuerza interior y volver a poner tu sitio en línea como se debe:
No entres en pánico, verifica los accesos a tu cuenta cPanel, cambia tus contraseñas y activa 2FA
Primero lo primero, si tu sitio fue comprometido, debes asumir que toda la información de tu cuenta también lo fue, incluyendo todas las contraseñas y usuarios que tengas en ella, desde el acceso a cPanel, contraseñas de bases de acceso a bases de datos MySQL, cuentas FTP y buzones de correo.
Puedes iniciar por revisar los accesos realizados a tu cPanel a través de la interfaz, esto puedes hacerlo abriendo el archivo “.lastlogin” desde el administrador de archivos, puedes abrir el administrador de archivos en la sección “Archivos” opción “Administrador de archivos” en tu interfaz. (Si no encuentras el archivo en la raíz de tu cuenta de hosting, verifica que tengas activada la opción de visualización de archivos ocultos en la interfaz del administrador de archivos.)
Dale clic derecho al archivo y selecciona la opción “View” en el menú emergente, será mostrada información de la siguiente forma:
Allí encontrarás las IPs de acceso más recientes a tu cuenta, si notas accesos desde IPs desconocidas (generalmente de países diferentes a donde te encuentras) es altamente probable que el atacante tuvo acceso a tu cuenta con tus datos, puedes verificar el país al que está asociada una IP escribiendo la dirección aquí, esto también indica que tus datos de acceso fueron robados, normalmente esto se hace a través de correos phishing (conoce más sobre phishing aquí).
Recomendación de seguridad: Recuerda que nadie, nunca, jamás, ni tus seres queridos, ni tu pareja ni tu perro y mucho menos un desconocido, deben pedirte datos de acceso a tu cuenta, especialmente a través de un correo indicando que hay algo urgente por hacer en tu hosting y repite conmigo “Nunca confíes, Siempre verifica”
Si recibes mensajes solicitando usar tus datos, contacta a tu proveedor de hosting, pero por defecto asume que es un correo malicioso, siempre.
Ahora para cambia todas las contraseñas, inicia con la contraseña de tu cPanel, esto puedes hacerlo en el menú de usuario dentro de la interfaz ó solicita a tu proveedor de hosting que la cambie por ti (Nosotros en Winkhosting.co podemos hacerlo directamente o puedes hacerlo desde nuestra área de clientes incluso si no tienes acceso al cPanel)
La opción de cambio de contraseña se encuentra en la parte superior derecha de la interfaz de cPanel y se ve así:
Al hacer clic sobre el botón del menú de usuario (color azul), será desplegado el menú emergente que incluye la opción para hacer el cambio con el nombre “Seguridad de la & contraseña”, (si, la traducción al español de cPanel deja mucho que desear pero vamos a ignorarlo por un momento).
Al hacer clic sobre “Seguridad de la & contraseña” será mostrado el formulario de cambio de contraseña así:
Escribe tu contraseña anterior, y la nueva contraseña en los campos solicitados, procura usar una contraseña segura, no vayas a escribir el nombre de tu empresa junto al año en curso, no subestimes la inteligencia de un atacante (MiEmpresa2023 no es una buena contraseña nunca lo será, confía en mi).
El formulario te indicará si la contraseña es lo suficientemente fuerte, procura atender al puntaje indicado antes de continuar, si es muy “fácil” probablemente no te deje cambiarla.
Para finalizar dale clic al botón “Cambie su contraseña ahora.” y la contraseña será modificada, recuerda tomar nota de la contraseña que fijaste y guárdala en un lugar seguro (te recomiendo KeePass o software similar, procura no usar servicios en línea para guardar tus contraseñas, ya sabemos lo que ha pasado con esos servicios, tarde o temprano terminan atacados y tus contraseñas por todo Internet).
Ahora tus contraseñas de buzones de correo. En tu cPanel ingresa a la sección “Correo electrónico” opción “Cuentas de correo electrónico”, allí encontrarás el listado de buzones existentes, con mucha paciencia, cambia la contraseña de cada uno.
Al ingresar a la opción será mostrado un listado similar al siguiente:
Dale clic al botón “Administrar” correspondiente al buzón al que quieras cambiar la contraseña y será mostrado el formulario correspondiente.
En el campo señalado, escribe la nueva contraseña o genera una nueva con la opción “Generate” en la parte derecha. (Como siempre, usa contraseñas seguras, si se te dificulta recordarlas usa un manejador de contraseñas donde puedas guardarlas y no uses la misma contraseña para todos tus accesos).
Para aplicar el cambio, dale clic al botón al final del formulario con el texto “Update Email Settings”.
Y listo, cambiaste la contraseña de tu buzón. Ahora realiza el mismo procedimiento para cada una de las cuentas, si son muchas… lo lamento, no hay otra forma de hacerlo, estás solo y nadie va a venir a ayudarte más que tu mismo, tú puedes hacerlo, creó en ti. (aplica para la vida y para el cambio de contraseñas).
Ahora vamos con las cuentas FTP (si aún usas FTP).
En la sección “Archivos” de tu cPanel encontrarás la opción “Cuentas de FTP”, al hacer clic sobre ella será mostrado el formulario de creación de cuentas y en la parte inferior las cuentas existentes. Nos interesan las cuentas bajo el título “Cuentas FTP”, las cuentas en “Cuentas FTP especiales” no requieren cambios.
Una vez en el formulario verás información como esta:
Verifica el listado de cuentas bajo el título marcado e inicia el cambio de contraseñas dando clic a la opción “Cambiar contraseña” de cada cuenta.
El formulario creo que se explica por si mismo, escribe la nueva contraseña o usa el generador de contraseñas para cambiarla y luego dale clic al botón “Cambiar contraseña” para finalizar.
Aún no terminamos, mira la foto de otro perrito, ve por otro café, estira y regresas. Ahora vamos con la activación de 2FA (Autenticación de dos pasos o dos factores en cPanel).
Ahora que estás descansado y con nueva energía, prosigamos.
Para activar 2FA en tu cuenta cPanel, verifica que esté disponible la opción en tu interfaz, si no lo está, contacta a tu proveedor de hosting y solicita su activación y si no lo hace, siempre estaremos a gusto en Winkhosting.co para recibirte como nuevo cliente.
Ingresa a la sección “Seguridad” y luego a la opción “Autenticación de dos factores”:
Instala en tu teléfono una aplicación para manejar códigos de autenticación de dos factures, Microsoft y Google ofrecen alternativas ó puedes consultar opciones de otros fabricantes. Una vez cuentes con la aplicación, puedes leer el código QR mostrado en el formulario o agregarlo manualmente con la información bajo la imagen:
Una vez agregado en tu aplicación en el teléfono, usa el código de seguridad mostrado en él para escribirlo en la caja de “Codigo de seguridad” en el paso dos del formulario y dale clic al botón “Configurar autenticación de dos factores” para finalizar.
Y listo, cambiaste contraseñas y activaste 2FA, si el atacante tenía estos datos ya puedes estar tranquilo, continuemos con los archivos y reporte en google safe browsing.
Revisa tus archivos, restaura un backup si es posible
En un mundo ideal, si no tienes tiempo para investigar, borrar todos los archivos dentro de /public_html y restaura un backup reciente (siempre realiza un backup de los archivos antes de borrarlos, estos pueden servir como evidencia en caso de ser requerido).
Ten presente que un atacante también puede almacenar código malicioso en bases de datos, restaura el último backup de tus bases de datos si es posible y no genera mayor pérdida de información transaccional.
Si borras y restauras un backup, generalmente queda una pregunta en el aire sobre qué archivos fueron modificados y cargados por un atacante (lo cual nos interesa mucho a los proveedores de infraestructura y hosting), si no tienes experiencia en este tipo de tareas, recomendamos que contactes a tu proveedor de hosting y le solicites soporte para revisar los archivos afectados.
Recomendación de seguridad: También procura mantener actualizadas todas las versiones del software que uses para tus sitios web, normalmente también pueden existir vulnerabilidades conocidas en manejadores de contenido populares como Wordpress (Código fuente, temas y plugins). No descuides el mantenimiento de tus sitios web, muchas personas asumen que lo que es seguro hoy, lo será en unos meses, solo para descubrir lo contrario de formas poco agradables.
En nuestra compañía contamos con protección en tiempo real contra malware y archivos maliciosos. Normalmente recibimos reportes indicando qué archivos son afectados y el tipo de infección detectada así como la puesta en cuarentena de los mismos, si tu proveedor de hosting no puede ayudarte o no cuenta con dicho servicio, ya sabes que hacer, cuenta con nosotros.
Una vez confirmes que tus archivos y bases de datos fueron restaurados con copias limpias y cualquier otro contenido malicioso fue eliminado, puedes proceder con la solicitud de retiro del reporte en google safe browsing.
Para hacerlo te daremos los pasos generales, los detalles puedes consultarlos directamente en la documentación de Google:
Inscribe tu sitio web en google search console.
Para esto debes tener una cuenta gmail o de google workspace para ingresar a estas herramientas y sigue los pasos solicitados por google para registrar la propiedad de tu sitio web.
Revisa los reportes de seguridad en la opción “Security issues” en la sección “Security & manual actions”. Allí serán mostrados los detalles del reporte que tienes activo y puedes solicitar una revisión, la revisión de google puede tomar hasta 72 horas, ten paciencia y espera el resultado.
Eso es todo, recuerda que esta guía puede no cubrir el caso específico que estés enfrentando, si es así, no dudes en contactarnos para ayudarte a restaurar tu sitio web.
