Mi Wordpress Hackeado

[#!drvy]

Hmmm si fuese algun include, no deberia afectar a todas las paginas ? Incluidas las de wordpress.. sin embargo solo afecta (a mi ver) las que utilizan un tema.. y el archivo 404 ese estaba dentro de un tema..

ka0s podrias cambiar el theme al de por defecto a ver si le afecta tambien.. y si es posible, empaquetar el tema en un .zip y subirlo a algun lado para que podamos descargarlo ?

Saludos

[MinusFour]

Yo pense que no habías encontrado nada raro en el index.php, no que no hubieras encontrado nada en el index.php!

Puedes empezar por restaurar ese archivo.

Y alguien tuvo que haber llamado a ese archivo para hacerle el:

Código (php) [Seleccionar] Expandir


eval(base64_decode($base64));

[ka0s]

Hmmm si fuese algun include, no deberia afectar a todas las paginas ? Incluidas las de wordpress.. sin embargo solo afecta (a mi ver) las que utilizan un tema.. y el archivo 404 ese estaba dentro de un tema..

ka0s podrias cambiar el theme al de por defecto a ver si le afecta tambien.. y si es posible, empaquetar el tema en un .zip y subirlo a algun lado para que podamos descargarlo ?

Saludos

Acá esta el Theme como pedías: http://ge.tt/8Df8qIp1/v/0?c
He cambiado el tema por otro que estaba ahi (el default de Wordpress no se encontraba) pero la web sigue redireccionando.

[ka0s]

Yo pense que no habías encontrado nada raro en el index.php, no que no hubieras encontrado nada en el index.php!

Puedes empezar por restaurar ese archivo.

Y alguien tuvo que haber llamado a ese archivo para hacerle el:

Código (php) [Seleccionar] Expandir


eval(base64_decode($base64));

El archivo index.php que se encuentra en public_html ESTÁ VACIO.
El archivo index.php que se encuentra en wp-content/themes/wilborada1 tiene el siguiente contenido:

Código (php) [Seleccionar] Expandir

<?php get_header(); ?>
   <div role="main" class="content clearfix">
       <?php get_sidebar(); ?>
       <div class="column-right">
           <div class="main" id="home">
               <div class="banner-top">
                <div id="flashContent">
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="670" height="230" id="670x230_02" align="middle">
<param name="movie" value="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/header.swf" />
<param name="quality" value="high" />
<param name="bgcolor" value="#ffffff" />
<param name="play" value="true" />
<param name="loop" value="true" />
<param name="wmode" value="window" />
<param name="scale" value="showall" />
<param name="menu" value="true" />
<param name="devicefont" value="false" />
<param name="salign" value="" />
<param name="allowScriptAccess" value="sameDomain" />
<!--[if !IE]>-->
<object type="application/x-shockwave-flash" data="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/header.swf" width="670" height="230">
<param name="movie" value="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/header.swf" />
<param name="quality" value="high" />
<param name="bgcolor" value="#ffffff" />
<param name="play" value="true" />
<param name="loop" value="true" />
<param name="wmode" value="window" />
<param name="scale" value="showall" />
<param name="menu" value="true" />
<param name="devicefont" value="false" />
<param name="salign" value="" />
<param name="allowScriptAccess" value="sameDomain" />
<!--<![endif]-->
<a href="http://www.adobe.com/go/getflash">
<img src="http://www.adobe.com/images/shared/download_buttons/get_flash_player.gif" alt="Get Adobe Flash player" />
</a>
<!--[if !IE]>-->
</object>
<!--<![endif]-->
</object>
</div>
</div>
               <div class="articulos-destacados">
                   <ul>
                       <?php query_posts(array('category_name' => 'novedades', 'posts_per_page' => 6)); ?>
                       <?php while (have_posts()) : the_post(); ?>
                           <li>
                               <div class="articulo-destacado">
                                   <a class="articulo-destacado-imagen" href="<?php the_permalink() ?>" rel="bookmark"
                                      title="Ver informacion de <?php if (function_exists('the_title_attribute')) the_title_attribute(); else the_title(); ?>">
                                       <?php the_post_thumbnail('thumbnail'); ?>
                                   </a>

                                   <div class="articulo-destacado-descripcion">

                                       <a class="articulo-destacado-nombre" href="<?php the_permalink() ?>"
                                          rel="bookmark"
                                          title="Ver informacion de <?php if (function_exists('the_title_attribute')) the_title_attribute(); else the_title(); ?>"><?php the_title(); ?></a>

                                       <p class="articulo-destacado-autor"><?php echo get_post_meta(get_the_ID(), 'autor', true); ?></p>

                                       <p class="articulo-destacado-exerpt"><?php print_excerpt(100); ?></p>
                                       <?php if (get_post_meta(get_the_ID(), 'precio', true) != null) { ?>
                                           <p class="articulo-destacado-precio">
                                               $ <?php echo get_post_meta(get_the_ID(), 'precio', true); ?>.-</p>
                                       <?php } ?>
                                       <a class="articulo-destacado-info" href="<?php the_permalink() ?>"
                                          rel="bookmark"
                                          title="Ver informacion de <?php if (function_exists('the_title_attribute')) the_title_attribute(); else the_title(); ?>">+
                                           info</a>
                                   </div>
                               </div>
                           </li>
                       <?php endwhile; ?>
                   </ul>
               </div>
               <div class="banners-bottom clear">
                   <ul class="clearfix">
                       <li class="banner-mercadolibre">
<a href="http://www.wilboradalibros.com.ar/contacto" target="_blank">
<img src="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/compramos-libros.jpg" alt="Compramos libros y vinilos, arte y antiguedades">
</a>
</li>
                       <li class="banner-comprolibros">
<a href="http://eshops.mercadolibre.com.ar/wilborada+libros/" target="_blank">
<img src="http://uv1215.us75.toservers.com/wp-content/themes/wilborada/img/tienda-online.jpg" alt="Tienda Online">
</a>
</li>
                   </ul>
               </div>
           </div>
       </div>
       <div class="clear"></div>
   </div>
<?php get_footer(); ?>

[MinusFour]

Lo que quise decir es que puedes restaurar el archivo index.php, en el directorio principal. Te bajas la versión de wordpress que instalaste y subes el archivo index.php que esta en el directorio raiz de wordpress.

[ka0s]

Lo que quise decir es que puedes restaurar el archivo index.php, en el directorio principal. Te bajas la versión de wordpress que instalaste y subes el archivo index.php que esta en el directorio raiz de wordpress.

Hice lo que me dijiste, baje el Wordpress, y le puse el archivo index.php que contenía este codigo:

Código (php) [Seleccionar] Expandir

<?php
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require( dirname( __FILE__ ) . '/wp-blog-header.php' );

Pero no he visto ninguna diferencia 
Gracias Minus por seguir ayudando!!

[#!drvy]

El tema que pusiste no tiene ninguna redireccion (al menos no vi) ni nada sospechoso a excepción de 2 archivos:

1.txt

Código [Seleccionar] Expandir

www.wilboradalibros.com.ar/wp-content/themes/wilborada1/1.txt
Tiene un texto muy sospechoso xD

Y wp-query.php que parece un mailer y hace uso de 1.txt.

Va a ser que esta en los includes xD... podrias subir los archivos de esa carpeta (wp-includes) ? Aunque parece que la instalación esta tan tocada, que es mejor borrar y volver a instalar.

Saludos

[MinusFour]

¿Por cierto, si estaban usando urls con el mod_rewrite donde están las reglas de wordpress en el .htaccess?

[ka0s]

¿Por cierto, si estaban usando urls con el mod_rewrite donde están las reglas de wordpress en el .htaccess?

Aqui me has dejado en blanco. No se cuales son las reglas que debe usar wordpress en el .htaccess. Si sabes que debo agregar, dimelo y lo agrego.

El tema que pusiste no tiene ninguna redireccion (al menos no vi) ni nada sospechoso a excepción de 2 archivos:

1.txt

Código [Seleccionar] Expandir

www.wilboradalibros.com.ar/wp-content/themes/wilborada1/1.txt
Tiene un texto muy sospechoso xD

Y wp-query.php que parece un mailer y hace uso de 1.txt.

Va a ser que esta en los includes xD... podrias subir los archivos de esa carpeta (wp-includes) ? Aunque parece que la instalación esta tan tocada, que es mejor borrar y volver a instalar.

Saludos

Aqui está subido el WP-INCLUDES: http://ge.tt/7P2jzIp1/v/0?c
Veremos si hay algo ahí entonces.
Otra persona me ha dicho que quizas por inyección en los comentarios puede estar el problema. Pero no creo, confio más en ustedes que al parecer de a poco nos vamos acercando al problema.
MUCHAS GRACIAS!

[#!drvy]

Borra el archivo red.php de wp-includes. Es un claro malware.

Sigo analizando por si hay otros.

Saludos