Mi Wordpress Hackeado

Iniciado por ka0s, 24 Julio 2014, 18:59 PM

0 Miembros y 2 Visitantes están viendo este tema.

ka0s

Hola gente, les hago una consulta.
Una amiga me comentó que le hackearon su sitio web. Al parecer toda su web redireccionaba a una página de Pastillas (viagra, etc...). Ella se comunicó no recuerdo con quién y le han dicho que tiene el siguiente Malware:

   Malware denominado Seo-Spam en tu Web.

   SEO Spam MW:SPAM:SEO
  http://www.misitio.com.ar/404testpage4525d2fdc
   SEO Spam MW:SPAM:SEO
   http://www.misitio.com.ar/404javascript.js


Estuve googleando un poco pero no tengo idea.
A alguien le pasó esto? Como puedo solucionarlo o que debo borrar para que no suceda más la redirección.

Desde ya muchisimas gracias!!!

MinusFour

¿No tiene acceso al servidor en el que tiene montado el wordpress? Redirects se pueden hacer de varias formas, desde un archivo.html o creando una regla de mod_rewrite del apache. Si no tiene acceso al servidor que se ponga en contacto con el admin y que este le restaure la cuenta y le borre las redirecciones y los archivos.

ka0s

Cita de: MinusFour en 24 Julio 2014, 19:08 PM
¿No tiene acceso al servidor en el que tiene montado el wordpress? Redirects se pueden hacer de varias formas, desde un archivo.html o creando una regla de mod_rewrite del apache. Si no tiene acceso al servidor que se ponga en contacto con el admin y que este le restaure la cuenta y le borre las redirecciones y los archivos.

Acceso al servidor tengo, me ha pasado todo, pero de ahí no sabría que más tocar.
me podrías guiar un poco más??

Desde ya muchas gracias por tu tiempo!

MinusFour

#3
Revisa por el .htaccess a ver si tienes una regla que vaya a la pagina en cuestión:

Algo así como:


RewriteRule .* http://safemedpillmarket.com


También podría ser que tengan las redirecciones desde el apache.conf.

ka0s

Cita de: MinusFour en 24 Julio 2014, 19:29 PM
Revisa por el .htaccess a ver si tienes una regla que vaya a la pagina en cuestión:

Algo así como:


RewriteRule .* http://safemedpillmarket.com


También podría ser que tengan las redirecciones desde el apache.conf.

Ya mismo me fijo. Me ha dicho mi amiga que me mandó los accesos, y todavía no veo nada. Lo siento por la demora ¬¬.
En el caso de encontrarlo, debo borrar completa esa línea o debo sustituir la web que me figura, por la mía?

Muchas gracias de nuevo!

MinusFour

Si ves una linea parecida primero intenta por cambiarle la dirección a la principal, si te redirecciona a la principal borrala.

ka0s

#6
Cita de: MinusFour en 24 Julio 2014, 19:58 PM
Si ves una linea parecida primero intenta por cambiarle la dirección a la principal, si te redirecciona a la principal borrala.

Minus, al parecer en el .htaccess no hay nada de lo que me has dicho. ME HACE DUDAR LAS PRIMERAS 10 LINEAS. Hay algo mal en eso?. Te lo dejo aquí igualmente.

{\rtf1\ansi\ansicpg1252\cocoartf1038\cocoasubrtf360
{\fonttbl\f0\fmodern\fcharset0 Courier;}
{\colortbl;\red255\green255\blue255;\red26\green26\blue26;\red246\green246\blue246;\red26\green26\blue26;
\red246\green246\blue246;}
\paperw11900\paperh16840\margl1440\margr1440\vieww9000\viewh8400\viewkind0
\deftab720
\pard\pardeftab720\sl360

\f0\fs22 \cf2 \cb3 # protege el fichero htaccess\
order allow,deny\
deny from all\
\
# desactiva la firma del servidor\
ServerSignature Off\
\
# limita la carga de archivos a 10mb\
LimitRequestBody 10240000\
\
# protege wpconfig.php\
order allow,deny\
deny from all\
\
#quien tiene acceso y quien no\
order allow,deny\
\
#denegar desde 000.000.000.000\
allow from all\
\
#documentos personalizados de error (lo cambias por los tuyos)\
ErrorDocument 404 /notfound.php\
ErrorDocument 403 /forbidden.php\
ErrorDocument 500 /error.php\
\
# desactiva la navegacion de directorios\
Options All -Indexes\
\
\
\
#desactiva el robo de imagenes con la opcion de una imagen personal\
RewriteEngine on\
RewriteCond %\{HTTP_REFERER\} !^$\
RewriteCond %\{HTTP_REFERER\} !^http://(www\\.)?\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /.*$ [NC]\
#RewriteRule \\.(gif|jpg)$ - [F]\
#RewriteRule \\.(gif|jpg)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /imagen_robada.gif [R,L]\
\
# compresion php - usar con precaucion\
php_value zlib.output_compression 16386\
\
# establece la url canonica (amigable)\
RewriteEngine On\
RewriteCond %\{HTTP_HOST\} ^\cf4 \cb5 wilborada.com.ar\cf2 \cb3 \\.com$ [NC]\
RewriteRule ^(.*)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /$1 [R=301,L]\
\
# protege de comentarios spam\
RewriteEngine On\
RewriteCond %\{REQUEST_METHOD\} POST\
RewriteCond %\{REQUEST_URI\} .wp-comments-post\\.php*\
RewriteCond %\{HTTP_REFERER\} !.*\cf4 \cb5 wilborada.com.ar\cf2 \cb3 .* [OR]\
RewriteCond %\{HTTP_USER_AGENT\} ^$\
RewriteRule (.*) ^http://%\{REMOTE_ADDR\}/$ [R=301,L]\
RewriteRule ^post/([0-9]+)?/?([0-9]+)?/?$ /index.php?p=$1&page=$2 [QSA]\
}


Con respecto al archivo apache.conf no lo he encontrado donde estaba el .htaccess, estará en otro lugar?

Cada vez me ahogo más en esto :(

MinusFour

Bueno pues, lo que pasa es que editaron el archivo con un editor de texto para darle formato, como word u oppenoffice. No veo nada raro en el .htaccess. ¿Tienes acceso a todo el servidor o solo al FTP? Si no tienes acceso al servidor y estás pagando a alguien, bien puede ser que todos los sitios alojados en ese servidor esten siendo redireccionados ahí.

ka0s

#8
Cita de: MinusFour en 24 Julio 2014, 20:27 PM
Bueno pues, lo que pasa es que editaron el archivo con un editor de texto para darle formato, como word u oppenoffice. No veo nada raro en el .htaccess. ¿Tienes acceso a todo el servidor o solo al FTP? Si no tienes acceso al servidor y estás pagando a alguien, bien puede ser que todos los sitios alojados en ese servidor esten siendo redireccionados ahí.

Gracias nuevamente por tu tiempo Minus, las primeras 10 lineas del .htaccess yo las ví "raras" pero si tu me dices que eso está Ok, entonces lo dejo así.
Con respecto a lo que preguntaste, Sí, tengo acceso al servidor, pero no se a donde dirigirme o qué modificar para reparar el problema.

Veo lo siguiente:


Y con respecto a lo otro que preguntabas, mi amiga ha hablado con la empresa del servidor y le han dicho lo que puse en el primer post, que la web está infectada y le pasaron esto:

CitarMalware denominado Seo-Spam en tu Web.

   SEO Spam MW:SPAM:SEO
   http://www.wilboradalibros.com.ar/404testpage4525d2fdc
   SEO Spam MW:SPAM:SEO
   http://www.wilboradalibros.com.ar/404javascript.js

Que solo es esta web, que no es problema de ellos ya que las otras están bien.

Algo nuevo para hacer?? MUCHAS GRACIAS!!

#!drvy

#9
El "malware" al parecer solo afecta a las redirecciones 404. Archivos normales funcionan bien.
http://www.wilboradalibros.com.ar/readme.html

Me he fijado que existe un index.php pero esta vacio. Podrías mirar a ver si tiene algo sospechoso ? Aparte, intenta buscar algún archivo que tenga error404 o 404 o algo así en el nombre.. si existe, muestra a ver cual es su contenido.

PD: Las urls ponlas entre etiquetas geshi para evitar que otros usuarios las visiten sin querer.



Edit:

http://www.wilboradalibros.com.ar/wp-login.php

Lanza errores PHP que dicen que no puede modificar los headers. Apunta a la linea 154 en /wp-includes/functions.wp-scripts.php

Saludos