Mi Wordpress Hackeado

Iniciado por ka0s, 24 Julio 2014, 18:59 PM

0 Miembros y 3 Visitantes están viendo este tema.

ka0s

Cita de: MinusFour en 25 Julio 2014, 01:47 AM
Parece que no es eso, y creo que tiene sentido porque tu la puedes ver y nosotros no xD.

Guarda el archivo .htaccess asi:

Código (apache) [Seleccionar]

# protege el fichero htaccess
order allow,deny
deny from all

# desactiva la firma del servidor
ServerSignature Off

# limita la carga de archivos a 10mb
LimitRequestBody 10240000

# protege wpconfig.php
order allow,deny
deny from all

#quien tiene acceso y quien no
order allow,deny

#denegar desde 000.000.000.000
allow from all

#documentos personalizados de error (lo cambias por los tuyos)
ErrorDocument 404 /notfound.php
ErrorDocument 403 /forbidden.php
ErrorDocument 500 /error.php

# desactiva la navegacion de directorios
Options All -Indexes

#desactiva el robo de imagenes con la opcion de una imagen personal
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?wilborada.com.ar/.*$ [NC]
#RewriteRule \.(gif|jpg)$ - [F]
#RewriteRule \.(gif|jpg)$ http://wilborada.com.ar/imagen_robada.gif [R,L]

# compresion php - usar con precaucion
php_value zlib.output_compression 16386

# establece la url canonica (amigable)
RewriteEngine On
RewriteCond %{HTTP_HOST} ^wilborada.com.ar\.com$ [NC]
RewriteRule ^(.*)$ http://wilborada.com.ar/$1 [R=301,L]

# protege de comentarios spam
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*wilborada.com.ar.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
RewriteRule ^post/([0-9]+)?/?([0-9]+)?/?$ /index.php?p=$1&page=$2 [QSA]


Algunas cosas no encajan eh.

Edit: #!drvy no me di cuenta que hice doble post si puedes juntar mis posts mejor XD.

Guardé el archivo .htaccess como tu lo has dicho y lo volví a subir. Pero creo que nada ha cambiado. En IE me aparece "Estamos renovando" y en Firefox veo la web.

ka0s

Me di cuenta que ahora cuando clickeo en la web principal CUALQUIER LINK no dirige más a la p**a página de pildoras pero tampoco a las correctas.
Ahora lo que aparece es

CitarNot Found

The requested URL /nosotros was not found on this server.

Espero que no la estemos cagando

MinusFour

No creo que se esten ejecutando ninguna de las reglas ahí, pero creo que si sobrescrbiste el .htaccess de wordpress. Intenta meterte al panel y vuelve a guardar la configuración de los permalinks a ver si esto te crea un nuevo archivo .htaccess

#!drvy

Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD

@ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error.

En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log

Saludos

MinusFour

#54
Cita de: #!drvy en 25 Julio 2014, 02:14 AM
Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD

@ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error.

En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log

Saludos

El .htaccess no tiene mucho sentido la verdad. Muchas directivas Allow, Deny pero están al aire.

Por ejemplo si quiere protejer el fichero .htaccess debe hacer:

Código (apache) [Seleccionar]

<Files ".htaccess">
order allow,deny
deny from all
</Files>


Al final hay una directiva de Allow así que no debería haber problema pero quien sabe si se tome en cuenta esa directiva. Lo mismo con el wpconfig.php.

Edit: Si vuelves a guardar la configuración de permalinks te vuelve a hacer el .htaccess (si tiene permisos para hacerlo).

Citar
To recreate your .htaccess file visit your permalinks setting and save them again. That should create for you a new file or at least tell you exactly what to put into that file.

http://your-blog-url-here/wp-admin/options-permalink.php

#!drvy

@ka0s, al parecer nosotros no vemos el WP porque esta activado el modo mantenimiento. Aparte, el .htaccess creo que lo puedes reconstruir desde Wordpress (como menciono MinusFour xD).

Saludos

ka0s

#56
Gracias a los dos.
La verdad yo no se como proceder ahora. Buenísimo que al parecer el Malware se quito, pero ni p**a idea como volver los links correctamente. No será que eso falló por desactivar los plugins? (Lo siento si es que estoy preguntando cualq cosa).

Avisenme si necesitan, o desean que pruebe o haga algo.
Sobre todo vos #!drvy que estás trabajando en el FTP.

Con respecto al Modo Mantenimiento, voy a buscarlo en el Panel de Administracion si encuentro algo para quitarlo y probar de esa forma

**EDITO**
YA SE REPARARON LOS LINKS!!!!!
Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_-

MinusFour

¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD!

ka0s

Cita de: MinusFour en 25 Julio 2014, 02:42 AM
¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD!

Justo edite el post arriba.
No, todo ahora apunta correctamente.
YA SE REPARARON LOS LINKS!!!!!
Lo que no entendi es lo que dijeron de Mantenimiento, no se de donde quitar eso para que no lo vean. Y no se porque el formulario de contacto no está más -_-
Y ahora lo primero y principal, alguien puede aclarar como paso lo de red.php, como llego ahí?? Es falla de la web? falla de mi amiga y su pc infectada?
No volverá a suceder?

MinusFour

Preguntale a tu amiga, ella debio de haber puesto eso.

Y en cuanto a lo de si volvera a suceder, es probable. Hay muchos plugins que te pueden afectar, sin mencionar aquellos que estan disfrazados para joderte. Lo ideal sería minimizar código externo al oficial de wordpress a menos que lo estes haciendo tú y sepas lo que haces.