Mi Wordpress Hackeado

ka0s · 25 Julio 2014, 01:54 AM

Cita de: MinusFour en 25 Julio 2014, 01:47 AM
Parece que no es eso, y creo que tiene sentido porque tu la puedes ver y nosotros no xD.

Guarda el archivo .htaccess asi:

Código (apache) [Seleccionar] Expandir
# protege el fichero htaccess order allow,deny deny from all # desactiva la firma del servidor ServerSignature Off # limita la carga de archivos a 10mb LimitRequestBody 10240000 # protege wpconfig.php order allow,deny deny from all #quien tiene acceso y quien no order allow,deny #denegar desde 000.000.000.000 allow from all #documentos personalizados de error (lo cambias por los tuyos) ErrorDocument 404 /notfound.php ErrorDocument 403 /forbidden.php ErrorDocument 500 /error.php # desactiva la navegacion de directorios Options All -Indexes #desactiva el robo de imagenes con la opcion de una imagen personal RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www\.)?wilborada.com.ar/.*$ [NC] #RewriteRule \.(gif|jpg)$ - [F] #RewriteRule \.(gif|jpg)$ http://wilborada.com.ar/imagen_robada.gif [R,L] # compresion php - usar con precaucion php_value zlib.output_compression 16386 # establece la url canonica (amigable) RewriteEngine On RewriteCond %{HTTP_HOST} ^wilborada.com.ar\.com$ [NC] RewriteRule ^(.*)$ http://wilborada.com.ar/$1 [R=301,L] # protege de comentarios spam RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post\.php* RewriteCond %{HTTP_REFERER} !.*wilborada.com.ar.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L] RewriteRule ^post/([0-9]+)?/?([0-9]+)?/?$ /index.php?p=$1&page=$2 [QSA]

Algunas cosas no encajan eh.

Edit: #!drvy no me di cuenta que hice doble post si puedes juntar mis posts mejor XD.

Guardé el archivo .htaccess como tu lo has dicho y lo volví a subir. Pero creo que nada ha cambiado. En IE me aparece "Estamos renovando" y en Firefox veo la web.

ka0s · 25 Julio 2014, 01:58 AM

Me di cuenta que ahora cuando clickeo en la web principal CUALQUIER LINK no dirige más a la p**a página de pildoras pero tampoco a las correctas.
Ahora lo que aparece es

CitarNot Found

The requested URL /nosotros was not found on this server.

Espero que no la estemos cagando

MinusFour · 25 Julio 2014, 02:12 AM

No creo que se esten ejecutando ninguna de las reglas ahí, pero creo que si sobrescrbiste el .htaccess de wordpress. Intenta meterte al panel y vuelve a guardar la configuración de los permalinks a ver si esto te crea un nuevo archivo .htaccess

#!drvy · 25 Julio 2014, 02:14 AM

Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD

@ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error.

En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log

Saludos

MinusFour · 25 Julio 2014, 02:23 AM

Cita de: #!drvy en 25 Julio 2014, 02:14 AM
Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD

@ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error.

En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log

Saludos

El .htaccess no tiene mucho sentido la verdad. Muchas directivas Allow, Deny pero están al aire.

Por ejemplo si quiere protejer el fichero .htaccess debe hacer:

Código (apache) [Seleccionar]


<Files ".htaccess">
order allow,deny
deny from all
</Files>

Al final hay una directiva de Allow así que no debería haber problema pero quien sabe si se tome en cuenta esa directiva. Lo mismo con el wpconfig.php.

Edit: Si vuelves a guardar la configuración de permalinks te vuelve a hacer el .htaccess (si tiene permisos para hacerlo).

Citar
To recreate your .htaccess file visit your permalinks setting and save them again. That should create for you a new file or at least tell you exactly what to put into that file.

http://your-blog-url-here/wp-admin/options-permalink.php

#!drvy · 25 Julio 2014, 02:31 AM

@ka0s, al parecer nosotros no vemos el WP porque esta activado el modo mantenimiento. Aparte, el .htaccess creo que lo puedes reconstruir desde Wordpress (como menciono MinusFour xD).

Saludos

ka0s · 25 Julio 2014, 02:33 AM

Gracias a los dos.
La verdad yo no se como proceder ahora. Buenísimo que al parecer el Malware se quito, pero ni p**a idea como volver los links correctamente. No será que eso falló por desactivar los plugins? (Lo siento si es que estoy preguntando cualq cosa).

Avisenme si necesitan, o desean que pruebe o haga algo.
Sobre todo vos #!drvy que estás trabajando en el FTP.

Con respecto al Modo Mantenimiento, voy a buscarlo en el Panel de Administracion si encuentro algo para quitarlo y probar de esa forma

**EDITO**
YA SE REPARARON LOS LINKS!!!!!
Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_-

MinusFour · 25 Julio 2014, 02:42 AM

¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD!

ka0s · 25 Julio 2014, 02:44 AM

Cita de: MinusFour en 25 Julio 2014, 02:42 AM
¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD!

Justo edite el post arriba.
No, todo ahora apunta correctamente.
YA SE REPARARON LOS LINKS!!!!!
Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_-
Y ahora lo primero y principal, alguien puede aclarar como paso lo de red.php, como llego ahí?? Es falla de la web? falla de mi amiga y su pc infectada?
No volverá a suceder?

MinusFour · 25 Julio 2014, 02:48 AM

Preguntale a tu amiga, ella debio de haber puesto eso.

Y en cuanto a lo de si volvera a suceder, es probable. Hay muchos plugins que te pueden afectar, sin mencionar aquellos que estan disfrazados para joderte. Lo ideal sería minimizar código externo al oficial de wordpress a menos que lo estes haciendo tú y sepas lo que haces.