elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


  Mostrar Mensajes
Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
41  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:41 am
Cita de: #!drvy en 25 Julio 2014, 03:30 am
EY ! Estoy aquí xDD estoy buscando al culpable del error 500.. Mientras tanto..

Encontre al culpable del juankeo..
http://paste.debian.net/plain/111546 Es posible que tengas una vulnerabilidad en
Código:
http://wilboradalibros.com.ar/peritajedearte/

Saludos

SON UNOS GENIOS, me gustaría saber en que parte ponen esos comandos para la próxima vez yo saberlos hacer. Tanto los comandos que has puesto tu ahí como los que me ha dicho MinusFour antes. No sabía donde ingresarlos.

Con respecto a la vulnerabilidad, hay alguna forma de poder parchar eso?
Siento que este post se hace infinito, No quiero molestarlos más, pero de una cosa lleva a la otra. Lo siento amigos!!

Sigo aqui a la espera del error 500 #!drvy lo que necesites estoy por acá esperando y leyendo.

Gracias MinusFour nuevamente!
42  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:25 am
Cita de: MinusFour en 25 Julio 2014, 03:23 am
LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado.

Eso se quita desde el .htaccess MinusFour??
Sigo esperando instrucciones, no se como proceder :P.
#!drvy se debe haber ido a dormir xD
43  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:16 am
Cita de: MinusFour en 25 Julio 2014, 03:14 am
La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo?

Algo extraño pasa acá. Hace un rato en Firefox veía en blanco y en IE me aparece ERROR 500. Y ahora en Firefox nuevamente veo la web perfectamente, pero en IE veo el "ESTAMOS RENOVANDO".
No se que está sucediendo... quizás sea #!drvy tocando cosas, intentando reparar esto o no lo sé.
44  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:08 am
Cita de: #!drvy en 25 Julio 2014, 03:04 am
@MinusFour busque red.php pero no encontre nada en el access...

Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php)

Código:
213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:20:37:26 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:21:25:08 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 284 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:22:14:55 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 532 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:09:53:17 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:13:35:23 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [09/Jul/2014:13:51:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 153 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:14:22:21 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:20:31:49 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 226 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:21:40:58 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:22:24:31 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 519 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:14:28:06 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:21:29 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:49:22 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:36:37 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:39:59 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 132 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0

Saludos

#!drvy vos ves la web correctamente?
Ahora tanto en Firefox como en IE veo todo en BLANCO. Parece que ahora si mi navegador borro todo y veo lo que dice MinusFour que no la puede ver. O tu has tocado otra cosa?
Avisame si la ves bien porque yo no la veo xDDD. Es el puto .htaccess que está jodiendo?
45  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 03:02 am
Cita de: MinusFour en 25 Julio 2014, 02:58 am
Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí.

Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500.

Borré el cache y todo de Firefox y la sigo viendo bien ahí pero en IE me sale error 500 y no se puede ver!!.
Con respecto al comando que me has dicho, lo siento Minus, pero no tengo idea donde ingresar eso para verificar lo que me dices.
46  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 02:54 am
Cita de: #!drvy en 25 Julio 2014, 02:51 am
Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

Ah lo siento por la pregunta idiota que hice y gracias por aclararmela!
Con respecto a lo que dices de Wordpress. AHORA se encuentra en la 3.9.1 porque lo he actualizado yo, pero cuando sucedió esto tenía una versión vieja. Quizás ya no suceda más ahora que esta todo borrado y actualizado el Wordpress.

Con respecto a lo de Manteinience pudiste encontrarlo y quitarlo?
Tu Minusfour ya puedes visualizar la web??
47  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 02:44 am
Cita de: MinusFour en 25 Julio 2014, 02:42 am
¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD!

Justo edite el post arriba.
No, todo ahora apunta correctamente.
YA SE REPARARON LOS LINKS!!!!!
Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_-
Y ahora lo primero y principal, alguien puede aclarar como paso lo de red.php, como llego ahí?? Es falla de la web? falla de mi amiga y su pc infectada?
No volverá a suceder?
48  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 02:33 am
Gracias a los dos.
La verdad yo no se como proceder ahora. Buenísimo que al parecer el Malware se quito, pero ni p**a idea como volver los links correctamente. No será que eso falló por desactivar los plugins? (Lo siento si es que estoy preguntando cualq cosa).

Avisenme si necesitan, o desean que pruebe o haga algo.
Sobre todo vos #!drvy que estás trabajando en el FTP.

Con respecto al Modo Mantenimiento, voy a buscarlo en el Panel de Administracion si encuentro algo para quitarlo y probar de esa forma

**EDITO**
YA SE REPARARON LOS LINKS!!!!!
Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_-
49  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 01:58 am
Me di cuenta que ahora cuando clickeo en la web principal CUALQUIER LINK no dirige más a la p**a página de pildoras pero tampoco a las correctas.
Ahora lo que aparece es

Citar
Not Found

The requested URL /nosotros was not found on this server.

Espero que no la estemos cagando
50  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 01:54 am
Cita de: MinusFour en 25 Julio 2014, 01:47 am
Parece que no es eso, y creo que tiene sentido porque tu la puedes ver y nosotros no xD.

Guarda el archivo .htaccess asi:

Código
  1. # protege el fichero htaccess
  2. order allow,deny
  3. deny from all
  4.  
  5. # desactiva la firma del servidor
  6. ServerSignature Off
  7.  
  8. # limita la carga de archivos a 10mb
  9. LimitRequestBody 10240000
  10.  
  11. # protege wpconfig.php
  12. order allow,deny
  13. deny from all
  14.  
  15. #quien tiene acceso y quien no
  16. order allow,deny
  17.  
  18. #denegar desde 000.000.000.000
  19. allow from all
  20.  
  21. #documentos personalizados de error (lo cambias por los tuyos)
  22. ErrorDocument 404 /notfound.php
  23. ErrorDocument 403 /forbidden.php
  24. ErrorDocument 500 /error.php
  25.  
  26. # desactiva la navegacion de directorios
  27. Options All -Indexes
  28.  
  29. #desactiva el robo de imagenes con la opcion de una imagen personal
  30. RewriteEngine on
  31. RewriteCond %{HTTP_REFERER} !^$
  32. RewriteCond %{HTTP_REFERER} !^http://(www\.)?wilborada.com.ar/.*$ [NC]
  33. #RewriteRule \.(gif|jpg)$ - [F]
  34. #RewriteRule \.(gif|jpg)$ http://wilborada.com.ar/imagen_robada.gif [R,L]
  35.  
  36. # compresion php - usar con precaucion
  37. php_value zlib.output_compression 16386
  38.  
  39. # establece la url canonica (amigable)
  40. RewriteEngine On
  41. RewriteCond %{HTTP_HOST} ^wilborada.com.ar\.com$ [NC]
  42. RewriteRule ^(.*)$ http://wilborada.com.ar/$1 [R=301,L]
  43.  
  44. # protege de comentarios spam
  45. RewriteEngine On
  46. RewriteCond %{REQUEST_METHOD} POST
  47. RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
  48. RewriteCond %{HTTP_REFERER} !.*wilborada.com.ar.* [OR]
  49. RewriteCond %{HTTP_USER_AGENT} ^$
  50. RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
  51. RewriteRule ^post/([0-9]+)?/?([0-9]+)?/?$ /index.php?p=$1&page=$2 [QSA]

Algunas cosas no encajan eh.

Edit: #!drvy no me di cuenta que hice doble post si puedes juntar mis posts mejor XD.

Guardé el archivo .htaccess como tu lo has dicho y lo volví a subir. Pero creo que nada ha cambiado. En IE me aparece "Estamos renovando" y en Firefox veo la web.
Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines