Mi Wordpress Hackeado

Iniciado por ka0s, 24 Julio 2014, 18:59 PM

0 Miembros y 1 Visitante están viendo este tema.

#!drvy

Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

ka0s

Cita de: #!drvy en 25 Julio 2014, 02:51 AM
Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

Ah lo siento por la pregunta idiota que hice y gracias por aclararmela!
Con respecto a lo que dices de Wordpress. AHORA se encuentra en la 3.9.1 porque lo he actualizado yo, pero cuando sucedió esto tenía una versión vieja. Quizás ya no suceda más ahora que esta todo borrado y actualizado el Wordpress.

Con respecto a lo de Manteinience pudiste encontrarlo y quitarlo?
Tu Minusfour ya puedes visualizar la web??


MinusFour

#62
Cita de: #!drvy en 25 Julio 2014, 02:51 AM
Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí.

Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500.

ka0s

Cita de: MinusFour en 25 Julio 2014, 02:58 AM
Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí.

Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500.

Borré el cache y todo de Firefox y la sigo viendo bien ahí pero en IE me sale error 500 y no se puede ver!!.
Con respecto al comando que me has dicho, lo siento Minus, pero no tengo idea donde ingresar eso para verificar lo que me dices.

#!drvy

@MinusFour busque red.php pero no encontre nada en el access...

Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php)

213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:20:37:26 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:21:25:08 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 284 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:22:14:55 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 532 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:09:53:17 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:13:35:23 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [09/Jul/2014:13:51:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 153 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:14:22:21 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:20:31:49 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 226 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:21:40:58 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:22:24:31 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 519 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:14:28:06 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:21:29 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:49:22 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:36:37 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:39:59 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 132 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0


Saludos

ka0s

Cita de: #!drvy en 25 Julio 2014, 03:04 AM
@MinusFour busque red.php pero no encontre nada en el access...

Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php)

213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:20:37:26 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:21:25:08 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 284 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:22:14:55 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 532 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:09:53:17 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:13:35:23 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [09/Jul/2014:13:51:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 153 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:14:22:21 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:20:31:49 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 226 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:21:40:58 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:22:24:31 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 519 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:14:28:06 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:21:29 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:49:22 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:36:37 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:39:59 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 132 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0


Saludos

#!drvy vos ves la web correctamente?
Ahora tanto en Firefox como en IE veo todo en BLANCO. Parece que ahora si mi navegador borro todo y veo lo que dice MinusFour que no la puede ver. O tu has tocado otra cosa?
Avisame si la ves bien porque yo no la veo xDDD. Es el puto .htaccess que está jodiendo?

MinusFour

La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo?

Edit: Ya no me tira error 500.

ka0s

Cita de: MinusFour en 25 Julio 2014, 03:14 AM
La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo?

Algo extraño pasa acá. Hace un rato en Firefox veía en blanco y en IE me aparece ERROR 500. Y ahora en Firefox nuevamente veo la web perfectamente, pero en IE veo el "ESTAMOS RENOVANDO".
No se que está sucediendo... quizás sea #!drvy tocando cosas, intentando reparar esto o no lo sé.

MinusFour

LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado.

ka0s

Cita de: MinusFour en 25 Julio 2014, 03:23 AM
LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado.

Eso se quita desde el .htaccess MinusFour??
Sigo esperando instrucciones, no se como proceder :P.
#!drvy se debe haber ido a dormir xD