elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Mi Wordpress Hackeado
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 Ir Abajo Respuesta Imprimir
Autor Tema: Mi Wordpress Hackeado  (Leído 36,670 veces)
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Mi Wordpress Hackeado
« en: 24 Julio 2014, 18:59 pm »

Hola gente, les hago una consulta.
Una amiga me comentó que le hackearon su sitio web. Al parecer toda su web redireccionaba a una página de Pastillas (viagra, etc...). Ella se comunicó no recuerdo con quién y le han dicho que tiene el siguiente Malware:

    Malware denominado Seo-Spam en tu Web.

    SEO Spam MW:SPAM:SEO
  
Código:
 http://www.misitio.com.ar/404testpage4525d2fdc
   SEO Spam MW:SPAM:SEO
    
Código:
http://www.misitio.com.ar/404javascript.js 


Estuve googleando un poco pero no tengo idea.
A alguien le pasó esto? Como puedo solucionarlo o que debo borrar para que no suceda más la redirección.

Desde ya muchisimas gracias!!!


« Última modificación: 25 Julio 2014, 05:44 am por ka0s » En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #1 en: 24 Julio 2014, 19:08 pm »

¿No tiene acceso al servidor en el que tiene montado el wordpress? Redirects se pueden hacer de varias formas, desde un archivo.html o creando una regla de mod_rewrite del apache. Si no tiene acceso al servidor que se ponga en contacto con el admin y que este le restaure la cuenta y le borre las redirecciones y los archivos.


En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #2 en: 24 Julio 2014, 19:16 pm »

¿No tiene acceso al servidor en el que tiene montado el wordpress? Redirects se pueden hacer de varias formas, desde un archivo.html o creando una regla de mod_rewrite del apache. Si no tiene acceso al servidor que se ponga en contacto con el admin y que este le restaure la cuenta y le borre las redirecciones y los archivos.

Acceso al servidor tengo, me ha pasado todo, pero de ahí no sabría que más tocar.
me podrías guiar un poco más??

Desde ya muchas gracias por tu tiempo!
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #3 en: 24 Julio 2014, 19:29 pm »

Revisa por el .htaccess a ver si tienes una regla que vaya a la pagina en cuestión:

Algo así como:

Código:
RewriteRule .* http://safemedpillmarket.com

También podría ser que tengan las redirecciones desde el apache.conf.
« Última modificación: 24 Julio 2014, 19:35 pm por MinusFour » En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #4 en: 24 Julio 2014, 19:53 pm »

Revisa por el .htaccess a ver si tienes una regla que vaya a la pagina en cuestión:

Algo así como:

Código:
RewriteRule .* http://safemedpillmarket.com

También podría ser que tengan las redirecciones desde el apache.conf.

Ya mismo me fijo. Me ha dicho mi amiga que me mandó los accesos, y todavía no veo nada. Lo siento por la demora ¬¬.
En el caso de encontrarlo, debo borrar completa esa línea o debo sustituir la web que me figura, por la mía?

Muchas gracias de nuevo!
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #5 en: 24 Julio 2014, 19:58 pm »

Si ves una linea parecida primero intenta por cambiarle la dirección a la principal, si te redirecciona a la principal borrala.
En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #6 en: 24 Julio 2014, 20:16 pm »

Si ves una linea parecida primero intenta por cambiarle la dirección a la principal, si te redirecciona a la principal borrala.

Minus, al parecer en el .htaccess no hay nada de lo que me has dicho. ME HACE DUDAR LAS PRIMERAS 10 LINEAS. Hay algo mal en eso?. Te lo dejo aquí igualmente.

Código:
{\rtf1\ansi\ansicpg1252\cocoartf1038\cocoasubrtf360
{\fonttbl\f0\fmodern\fcharset0 Courier;}
{\colortbl;\red255\green255\blue255;\red26\green26\blue26;\red246\green246\blue246;\red26\green26\blue26;
\red246\green246\blue246;}
\paperw11900\paperh16840\margl1440\margr1440\vieww9000\viewh8400\viewkind0
\deftab720
\pard\pardeftab720\sl360

\f0\fs22 \cf2 \cb3 # protege el fichero htaccess\
order allow,deny\
deny from all\
 \
# desactiva la firma del servidor\
ServerSignature Off\
 \
# limita la carga de archivos a 10mb\
LimitRequestBody 10240000\
 \
# protege wpconfig.php\
order allow,deny\
deny from all\
 \
#quien tiene acceso y quien no\
order allow,deny\
 \
#denegar desde 000.000.000.000\
allow from all\
 \
#documentos personalizados de error (lo cambias por los tuyos)\
ErrorDocument 404 /notfound.php\
ErrorDocument 403 /forbidden.php\
ErrorDocument 500 /error.php\
 \
# desactiva la navegacion de directorios\
Options All -Indexes\
 \
 \
\
#desactiva el robo de imagenes con la opcion de una imagen personal\
RewriteEngine on\
RewriteCond %\{HTTP_REFERER\} !^$\
RewriteCond %\{HTTP_REFERER\} !^http://(www\\.)?\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /.*$ [NC]\
#RewriteRule \\.(gif|jpg)$ - [F]\
#RewriteRule \\.(gif|jpg)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /imagen_robada.gif [R,L]\
 \
# compresion php - usar con precaucion\
php_value zlib.output_compression 16386\
 \
# establece la url canonica (amigable)\
RewriteEngine On\
RewriteCond %\{HTTP_HOST\} ^\cf4 \cb5 wilborada.com.ar\cf2 \cb3 \\.com$ [NC]\
RewriteRule ^(.*)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /$1 [R=301,L]\
 \
# protege de comentarios spam\
RewriteEngine On\
RewriteCond %\{REQUEST_METHOD\} POST\
RewriteCond %\{REQUEST_URI\} .wp-comments-post\\.php*\
RewriteCond %\{HTTP_REFERER\} !.*\cf4 \cb5 wilborada.com.ar\cf2 \cb3 .* [OR]\
RewriteCond %\{HTTP_USER_AGENT\} ^$\
RewriteRule (.*) ^http://%\{REMOTE_ADDR\}/$ [R=301,L]\
RewriteRule ^post/([0-9]+)?/?([0-9]+)?/?$ /index.php?p=$1&page=$2 [QSA]\
}

Con respecto al archivo apache.conf no lo he encontrado donde estaba el .htaccess, estará en otro lugar?

Cada vez me ahogo más en esto :(
« Última modificación: 24 Julio 2014, 20:18 pm por ka0s » En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #7 en: 24 Julio 2014, 20:27 pm »

Bueno pues, lo que pasa es que editaron el archivo con un editor de texto para darle formato, como word u oppenoffice. No veo nada raro en el .htaccess. ¿Tienes acceso a todo el servidor o solo al FTP? Si no tienes acceso al servidor y estás pagando a alguien, bien puede ser que todos los sitios alojados en ese servidor esten siendo redireccionados ahí.
En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #8 en: 24 Julio 2014, 20:33 pm »

Bueno pues, lo que pasa es que editaron el archivo con un editor de texto para darle formato, como word u oppenoffice. No veo nada raro en el .htaccess. ¿Tienes acceso a todo el servidor o solo al FTP? Si no tienes acceso al servidor y estás pagando a alguien, bien puede ser que todos los sitios alojados en ese servidor esten siendo redireccionados ahí.

Gracias nuevamente por tu tiempo Minus, las primeras 10 lineas del .htaccess yo las ví "raras" pero si tu me dices que eso está Ok, entonces lo dejo así.
Con respecto a lo que preguntaste, Sí, tengo acceso al servidor, pero no se a donde dirigirme o qué modificar para reparar el problema.

Veo lo siguiente:


Y con respecto a lo otro que preguntabas, mi amiga ha hablado con la empresa del servidor y le han dicho lo que puse en el primer post, que la web está infectada y le pasaron esto:

Citar
Malware denominado Seo-Spam en tu Web.

    SEO Spam MW:SPAM:SEO
    
Código:
http://www.wilboradalibros.com.ar/404testpage4525d2fdc
   SEO Spam MW:SPAM:SEO
    
Código:
http://www.wilboradalibros.com.ar/404javascript.js

Que solo es esta web, que no es problema de ellos ya que las otras están bien.

Algo nuevo para hacer?? MUCHAS GRACIAS!!
« Última modificación: 24 Julio 2014, 20:48 pm por #!drvy » En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #9 en: 24 Julio 2014, 20:47 pm »

El "malware" al parecer solo afecta a las redirecciones 404. Archivos normales funcionan bien.
Código:
http://www.wilboradalibros.com.ar/readme.html

Me he fijado que existe un index.php pero esta vacio. Podrías mirar a ver si tiene algo sospechoso ? Aparte, intenta buscar algún archivo que tenga error404 o 404 o algo así en el nombre.. si existe, muestra a ver cual es su contenido.

PD: Las urls ponlas entre etiquetas geshi para evitar que otros usuarios las visiten sin querer.


Edit:

Código:
http://www.wilboradalibros.com.ar/wp-login.php

Lanza errores PHP que dicen que no puede modificar los headers. Apunta a la linea 154 en /wp-includes/functions.wp-scripts.php

Saludos
« Última modificación: 24 Julio 2014, 20:57 pm por #!drvy » En línea

Páginas: [1] 2 3 4 5 6 7 8 9 10 11 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RIN.ru Hackeado
Juegos y Consolas
::GD:: 3 3,774 Último mensaje 30 Marzo 2005, 03:57 am
por ::GD::
Ataque DDoS a WordPress : WordPress sufre el mayor ataque DDoS
Noticias
wolfbcn 0 4,614 Último mensaje 4 Marzo 2011, 13:17 pm
por wolfbcn
Me han hackeado
Seguridad
###almohadilla 1 2,688 Último mensaje 4 Abril 2014, 09:50 am
por dRak0
[WordPress] ¿ Cómo añadir una entrada en WordPress 3.8.2 ?
Desarrollo Web
0x5d 3 5,141 Último mensaje 12 Abril 2014, 06:47 am
por 0x5d
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines