1 min de leitura ·

Roubo de subdomínio?

Tenho um amigo que mantém um site wordpress .org. Recentemente ele recebeu um e-mail do google informando que um usuário (com e-mail que ele não reconhecia) foi adicionado como administrador de um site hospedado em ma.<dominio>.org.

Alguém sabe como isso pode ter sido possível sem ter tido nenhum alerta de login desconhecido (e a princípio sem vazamento de dados)? Fiquei curioso pra saber como isso funciona e o que a pessoa ganharia com isso (além de host de graça), algum tipo de ataque. O site hospesdado é apenas uma página com um vídeo.

Oletros

1 dia atrás

Meus 2 cents,

Pelo que entendi, a empresa hospeda o site em local proprio, usando como CMS (gerenciador de conteudo) o wordpress.

Neste caso, o problema pode acontecer se o wordpress estiver configurado para multiplos subdominios (wp-config.php => define('WP_ALLOW_MULTISITE', true))

Alem disso, no servidor de DNS do dominio deve ter uma configuracao de wildcard (*) que aponta para o IP principal da hospedagem que acaba mandando para o wordpress.

De qualquer forma, o "como" acima descrito eh uma suposicao - mas o importante eh: sim, provavelmente o site/wordpress foi comprometido.

O ideal neste caso eh buscar um backup anterior ao problema (pelo menos 1 ou 2 dias antes, mas se o site nao eh alterado a muito tempo, um backup de 1 mes passado ou mais seria interessante) e restaurar.

Apos a restauracao, mudar as senhas e acompanhar.

Boa sorte !

silvestrini

1 dia atrás

Certeza que é wordpress.org e não .com? Pois planos de hospedagem são somentes no .com, o .org é onde se baixa o fonte.

GheistLycis

Autor

1 dia atrás

Eu quis dizer que é um projeto wordpress hospedado em um domínio .org (.org.br pra ser mais preciso). O site é de uma organização.

Pilati

1 dia atrás

Não consegui entender o problema pelos dados que você informou, assim não conseguimos entender o cenário completo.

Mas se ele está usando um subdomínio do seu domínio pode ser por uma série de fatores como phishing ou aproveitar ranking e reputação do google

GheistLycis

Autor

1 dia atrás

Não sei como explicar melhor, mas o problema é este que você mencionou mesmo. Reescrevendo:

Ele é dono de um projeto wordpress que está hospedado em https://DOMINIO.org.br
Acabaram de subir um site hosteado no endereço https://ma.DOMINIO.org.br

Minhas dúvidas são:

Como é possível alguém fazer isso se o subdomínio não existia e a princípio ninguém invadiu a conta do proprietário do domínio? Depois de um busca rápida vi que esse tipo de coisa só seria possível se tivessem mapeado esse subdomínio no DNS, mas sem hostear nada, daí alguém percebeu isso e foi mais rápido em servir um site.
Quais riscos isso representa? Seria possível algum tipo de ataque ou roubo de credenciais que afete o site no domínio principal?

Pilati

1 dia atrás

Como é possível alguém fazer isso se o subdomínio não existia e a princípio ninguém invadiu a conta do proprietário do domínio? Depois de um busca rápida vi que esse tipo de coisa só seria possível se tivessem mapeado esse subdomínio no DNS, mas sem hostear nada, daí alguém percebeu isso e foi mais rápido em servir um site.

Sim, a pessoa precisa ter acesso para alterar o DNS do domínio, podem existir falhas que permitam isso. Ou algum dns mal configurado (* para wildcard por exemplo)

Quais riscos isso representa? Seria possível algum tipo de ataque ou roubo de credenciais que afete o site no domínio principal?

Ele está se passando pela empresa. Somente isso já é um risco enorme