elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Mi Wordpress Hackeado		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] 4 5 6 7 8 9 10 11 Ir Abajo Respuesta Imprimir
Autor Tema: Mi Wordpress Hackeado  (Leído 36,672 veces)
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #20 en: 24 Julio 2014, 22:08 pm »
Hmmm si fuese algun include, no deberia afectar a todas las paginas ? Incluidas las de wordpress.. sin embargo solo afecta (a mi ver) las que utilizan un tema.. y el archivo 404 ese estaba dentro de un tema..

ka0s podrias cambiar el theme al de por defecto a ver si le afecta tambien.. y si es posible, empaquetar el tema en un .zip y subirlo a algun lado para que podamos descargarlo ?

Saludos
En línea
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #21 en: 24 Julio 2014, 22:11 pm »
Yo pense que no habías encontrado nada raro en el index.php, no que no hubieras encontrado nada en el index.php!

Puedes empezar por restaurar ese archivo. :P

Y alguien tuvo que haber llamado a ese archivo para hacerle el:

Código
  1. eval(base64_decode($base64));
En línea
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #22 en: 24 Julio 2014, 22:18 pm »
Cita de: #!drvy en 24 Julio 2014, 22:08 pm
Hmmm si fuese algun include, no deberia afectar a todas las paginas ? Incluidas las de wordpress.. sin embargo solo afecta (a mi ver) las que utilizan un tema.. y el archivo 404 ese estaba dentro de un tema..

ka0s podrias cambiar el theme al de por defecto a ver si le afecta tambien.. y si es posible, empaquetar el tema en un .zip y subirlo a algun lado para que podamos descargarlo ?

Saludos

Acá esta el Theme como pedías: http://ge.tt/8Df8qIp1/v/0?c
He cambiado el tema por otro que estaba ahi (el default de Wordpress no se encontraba) pero la web sigue redireccionando.
En línea
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #23 en: 24 Julio 2014, 22:22 pm »
Cita de: MinusFour en 24 Julio 2014, 22:11 pm
Yo pense que no habías encontrado nada raro en el index.php, no que no hubieras encontrado nada en el index.php!

Puedes empezar por restaurar ese archivo. :P

Y alguien tuvo que haber llamado a ese archivo para hacerle el:

Código
  1. eval(base64_decode($base64));

El archivo index.php que se encuentra en public_html ESTÁ VACIO.
El archivo index.php que se encuentra en wp-content/themes/wilborada1 tiene el siguiente contenido:

Código
  1. <?php get_header(); ?>
  2.     <div role="main" class="content clearfix">
  3.         <?php get_sidebar(); ?>
  4.         <div class="column-right">
  5.             <div class="main" id="home">
  6.                 <div class="banner-top">
  7.                 	<div id="flashContent">
  8. 						<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="670" height="230" id="670x230_02" align="middle">
  9. 							<param name="movie" value="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/header.swf" />
  10. 							<param name="quality" value="high" />
  11. 							<param name="bgcolor" value="#ffffff" />
  12. 							<param name="play" value="true" />
  13. 							<param name="loop" value="true" />
  14. 							<param name="wmode" value="window" />
  15. 							<param name="scale" value="showall" />
  16. 							<param name="menu" value="true" />
  17. 							<param name="devicefont" value="false" />
  18. 							<param name="salign" value="" />
  19. 							<param name="allowScriptAccess" value="sameDomain" />
  20. 							<!--[if !IE]>-->
  21. 							<object type="application/x-shockwave-flash" data="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/header.swf" width="670" height="230">
  22. 								<param name="movie" value="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/header.swf" />
  23. 								<param name="quality" value="high" />
  24. 								<param name="bgcolor" value="#ffffff" />
  25. 								<param name="play" value="true" />
  26. 								<param name="loop" value="true" />
  27. 								<param name="wmode" value="window" />
  28. 								<param name="scale" value="showall" />
  29. 								<param name="menu" value="true" />
  30. 								<param name="devicefont" value="false" />
  31. 								<param name="salign" value="" />
  32. 								<param name="allowScriptAccess" value="sameDomain" />
  33. 							<!--<![endif]-->
  34. 								<a href="http://www.adobe.com/go/getflash">
  35. 									<img src="http://www.adobe.com/images/shared/download_buttons/get_flash_player.gif" alt="Get Adobe Flash player" />
  36. 								</a>
  37. 							<!--[if !IE]>-->
  38. 							</object>
  39. 							<!--<![endif]-->
  40. 						</object>
  41. 					</div>
  42. 				</div>
  43.                 <div class="articulos-destacados">
  44.                     <ul>
  45.                         <?php query_posts(array('category_name' => 'novedades', 'posts_per_page' => 6)); ?>
  46.                         <?php while (have_posts()) : the_post(); ?>
  47.                             <li>
  48.                                 <div class="articulo-destacado">
  49.                                     <a class="articulo-destacado-imagen" href="<?php the_permalink() ?>" rel="bookmark"
  50.                                        title="Ver informacion de <?php if (function_exists('the_title_attribute')) the_title_attribute(); else the_title(); ?>">
  51.                                         <?php the_post_thumbnail('thumbnail'); ?>
  52.                                     </a>
  53.  
  54.                                     <div class="articulo-destacado-descripcion">
  55.  
  56.                                         <a class="articulo-destacado-nombre" href="<?php the_permalink() ?>"
  57.                                            rel="bookmark"
  58.                                            title="Ver informacion de <?php if (function_exists('the_title_attribute')) the_title_attribute(); else the_title(); ?>"><?php the_title(); ?></a>
  59.  
  60.                                         <p class="articulo-destacado-autor"><?php echo get_post_meta(get_the_ID(), 'autor', true); ?></p>
  61.  
  62.                                         <p class="articulo-destacado-exerpt"><?php print_excerpt(100); ?></p>
  63.                                         <?php if (get_post_meta(get_the_ID(), 'precio', true) != null) { ?>
  64.                                             <p class="articulo-destacado-precio">
  65.                                                 $ <?php echo get_post_meta(get_the_ID(), 'precio', true); ?>.-</p>
  66.                                         <?php } ?>
  67.                                         <a class="articulo-destacado-info" href="<?php the_permalink() ?>"
  68.                                            rel="bookmark"
  69.                                            title="Ver informacion de <?php if (function_exists('the_title_attribute')) the_title_attribute(); else the_title(); ?>">+
  70.                                             info</a>
  71.                                     </div>
  72.                                 </div>
  73.                             </li>
  74.                         <?php endwhile; ?>
  75.                     </ul>
  76.                 </div>
  77.                 <div class="banners-bottom clear">
  78.                     <ul class="clearfix">
  79.                         <li class="banner-mercadolibre">
  80. 							<a href="http://www.wilboradalibros.com.ar/contacto" target="_blank">
  81. 								<img src="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/compramos-libros.jpg" alt="Compramos libros y vinilos, arte y antiguedades">
  82. 							</a>
  83. 						</li>
  84.                         <li class="banner-comprolibros">
  85. 							<a href="http://eshops.mercadolibre.com.ar/wilborada+libros/" target="_blank">
  86. 								<img src="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/tienda-online.jpg" alt="Tienda Online">
  87. 							</a>
  88. 						</li>
  89.                     </ul>
  90.                 </div>
  91.             </div>
  92.         </div>
  93.         <div class="clear"></div>
  94.     </div>
  95. <?php get_footer(); ?>
« Última modificación: 24 Julio 2014, 22:24 pm por ka0s » En línea
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #24 en: 24 Julio 2014, 22:28 pm »
Lo que quise decir es que puedes restaurar el archivo index.php, en el directorio principal. Te bajas la versión de wordpress que instalaste y subes el archivo index.php que esta en el directorio raiz de wordpress.
En línea
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #25 en: 24 Julio 2014, 22:34 pm »
Cita de: MinusFour en 24 Julio 2014, 22:28 pm
Lo que quise decir es que puedes restaurar el archivo index.php, en el directorio principal. Te bajas la versión de wordpress que instalaste y subes el archivo index.php que esta en el directorio raiz de wordpress.

Hice lo que me dijiste, baje el Wordpress, y le puse el archivo index.php que contenía este codigo:

Código
  1. <?php
  2. /**
  3.  * Front to the WordPress application. This file doesn't do anything, but loads
  4.  * wp-blog-header.php which does and tells WordPress to load the theme.
  5.  *
  6.  * @package WordPress
  7.  */
  8.  
  9. /**
  10.  * Tells WordPress to load the WordPress theme and output it.
  11.  *
  12.  * @var bool
  13.  */
  14. define('WP_USE_THEMES', true);
  15.  
  16. /** Loads the WordPress Environment and Template */
  17. require( dirname( __FILE__ ) . '/wp-blog-header.php' );

Pero no he visto ninguna diferencia  :huh:
Gracias Minus por seguir ayudando!!
En línea
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #26 en: 24 Julio 2014, 22:38 pm »
El tema que pusiste no tiene ninguna redireccion (al menos no vi) ni nada sospechoso a excepción de 2 archivos:

1.txt
Código:
www.wilboradalibros.com.ar/wp-content/themes/wilborada1/1.txt
Tiene un texto muy sospechoso xD

Y wp-query.php que parece un mailer y hace uso de 1.txt.

Va a ser que esta en los includes xD... podrias subir los archivos de esa carpeta (wp-includes) ? Aunque parece que la instalación esta tan tocada, que es mejor borrar y volver a instalar.

Saludos
« Última modificación: 24 Julio 2014, 22:39 pm por #!drvy » En línea
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #27 en: 24 Julio 2014, 22:57 pm »
¿Por cierto, si estaban usando urls con el mod_rewrite donde están las reglas de wordpress en el .htaccess?
En línea
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #28 en: 24 Julio 2014, 23:01 pm »
Cita de: MinusFour en 24 Julio 2014, 22:57 pm
¿Por cierto, si estaban usando urls con el mod_rewrite donde están las reglas de wordpress en el .htaccess?

Aqui me has dejado en blanco. No se cuales son las reglas que debe usar wordpress en el .htaccess. Si sabes que debo agregar, dimelo y lo agrego.

Cita de: #!drvy en 24 Julio 2014, 22:38 pm
El tema que pusiste no tiene ninguna redireccion (al menos no vi) ni nada sospechoso a excepción de 2 archivos:

1.txt

Código:
www.wilboradalibros.com.ar/wp-content/themes/wilborada1/1.txt
Tiene un texto muy sospechoso xD

Y wp-query.php que parece un mailer y hace uso de 1.txt.

Va a ser que esta en los includes xD... podrias subir los archivos de esa carpeta (wp-includes) ? Aunque parece que la instalación esta tan tocada, que es mejor borrar y volver a instalar.

Saludos

Aqui está subido el WP-INCLUDES: http://ge.tt/7P2jzIp1/v/0?c
Veremos si hay algo ahí entonces.
Otra persona me ha dicho que quizas por inyección en los comentarios puede estar el problema. Pero no creo, confio más en ustedes que al parecer de a poco nos vamos acercando al problema.
MUCHAS GRACIAS!
En línea
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #29 en: 24 Julio 2014, 23:13 pm »
Borra el archivo red.php de wp-includes. Es un claro malware.

Sigo analizando por si hay otros.

Saludos
En línea
Páginas: 1 2 [3] 4 5 6 7 8 9 10 11 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RIN.ru Hackeado
Juegos y Consolas 		::GD:: 3 3,774 Último mensaje 30 Marzo 2005, 03:57 am
por ::GD::
Ataque DDoS a WordPress : WordPress sufre el mayor ataque DDoS
Noticias 		wolfbcn 0 4,614 Último mensaje 4 Marzo 2011, 13:17 pm
por wolfbcn
Me han hackeado
Seguridad 		###almohadilla 1 2,688 Último mensaje 4 Abril 2014, 09:50 am
por dRak0
[WordPress] ¿ Cómo añadir una entrada en WordPress 3.8.2 ?
Desarrollo Web 		0x5d 3 5,141 Último mensaje 12 Abril 2014, 06:47 am
por 0x5d
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines