elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Mi Wordpress Hackeado
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 2 3 4 5 6 [7] 8 9 10 11 Ir Abajo Respuesta Imprimir
Autor Tema: Mi Wordpress Hackeado  (Leído 36,675 veces)
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #60 en: 25 Julio 2014, 02:51 am »

Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos


En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #61 en: 25 Julio 2014, 02:54 am »

Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

Ah lo siento por la pregunta idiota que hice y gracias por aclararmela!
Con respecto a lo que dices de Wordpress. AHORA se encuentra en la 3.9.1 porque lo he actualizado yo, pero cuando sucedió esto tenía una versión vieja. Quizás ya no suceda más ahora que esta todo borrado y actualizado el Wordpress.

Con respecto a lo de Manteinience pudiste encontrarlo y quitarlo?
Tu Minusfour ya puedes visualizar la web??



En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #62 en: 25 Julio 2014, 02:58 am »

Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí.

Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500.
« Última modificación: 25 Julio 2014, 03:00 am por MinusFour » En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #63 en: 25 Julio 2014, 03:02 am »

Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí.

Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500.

Borré el cache y todo de Firefox y la sigo viendo bien ahí pero en IE me sale error 500 y no se puede ver!!.
Con respecto al comando que me has dicho, lo siento Minus, pero no tengo idea donde ingresar eso para verificar lo que me dices.
En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #64 en: 25 Julio 2014, 03:04 am »

@MinusFour busque red.php pero no encontre nada en el access...

Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php)

Código:
213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:20:37:26 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:21:25:08 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 284 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:22:14:55 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 532 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:09:53:17 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:13:35:23 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [09/Jul/2014:13:51:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 153 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:14:22:21 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:20:31:49 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 226 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:21:40:58 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:22:24:31 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 519 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:14:28:06 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:21:29 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:49:22 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:36:37 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:39:59 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 132 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0

Saludos
En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #65 en: 25 Julio 2014, 03:08 am »

@MinusFour busque red.php pero no encontre nada en el access...

Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php)

Código:
213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:20:37:26 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:21:25:08 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 284 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:22:14:55 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 532 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:09:53:17 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:13:35:23 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [09/Jul/2014:13:51:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 153 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:14:22:21 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:20:31:49 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 226 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:21:40:58 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:22:24:31 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 519 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:14:28:06 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:21:29 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:49:22 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:36:37 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:39:59 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 132 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0

Saludos

#!drvy vos ves la web correctamente?
Ahora tanto en Firefox como en IE veo todo en BLANCO. Parece que ahora si mi navegador borro todo y veo lo que dice MinusFour que no la puede ver. O tu has tocado otra cosa?
Avisame si la ves bien porque yo no la veo xDDD. Es el puto .htaccess que está jodiendo?
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #66 en: 25 Julio 2014, 03:14 am »

La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo?

Edit: Ya no me tira error 500.
En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #67 en: 25 Julio 2014, 03:16 am »

La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo?

Algo extraño pasa acá. Hace un rato en Firefox veía en blanco y en IE me aparece ERROR 500. Y ahora en Firefox nuevamente veo la web perfectamente, pero en IE veo el "ESTAMOS RENOVANDO".
No se que está sucediendo... quizás sea #!drvy tocando cosas, intentando reparar esto o no lo sé.
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #68 en: 25 Julio 2014, 03:23 am »

LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado.
En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #69 en: 25 Julio 2014, 03:25 am »

LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado.

Eso se quita desde el .htaccess MinusFour??
Sigo esperando instrucciones, no se como proceder :P.
#!drvy se debe haber ido a dormir xD
En línea

Páginas: 1 2 3 4 5 6 [7] 8 9 10 11 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RIN.ru Hackeado
Juegos y Consolas
::GD:: 3 3,774 Último mensaje 30 Marzo 2005, 03:57 am
por ::GD::
Ataque DDoS a WordPress : WordPress sufre el mayor ataque DDoS
Noticias
wolfbcn 0 4,614 Último mensaje 4 Marzo 2011, 13:17 pm
por wolfbcn
Me han hackeado
Seguridad
###almohadilla 1 2,688 Último mensaje 4 Abril 2014, 09:50 am
por dRak0
[WordPress] ¿ Cómo añadir una entrada en WordPress 3.8.2 ?
Desarrollo Web
0x5d 3 5,141 Último mensaje 12 Abril 2014, 06:47 am
por 0x5d
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines