Mensajes

EY ! Estoy aquí xDD estoy buscando al culpable del error 500.. Mientras tanto..

Encontre al culpable del juankeo..
http://paste.debian.net/plain/111546 Es posible que tengas una vulnerabilidad en

Código [Seleccionar] Expandir

http://wilboradalibros.com.ar/peritajedearte/

Saludos

@MinusFour busque red.php pero no encontre nada en el access...

Lo que si he visto, unas cuantas entradas de IP's que se aprovecharon del mailer (wp-query.php)

Código [Seleccionar] Expandir

213.229.124.7 - - [08/Jul/2014:19:53:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:20:37:26 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:21:25:08 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 284 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [08/Jul/2014:22:14:55 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 532 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:09:53:17 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:13:35:23 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
85.17.31.91 - - [09/Jul/2014:13:51:12 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 153 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:14:22:21 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:20:31:49 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 226 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:21:40:58 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [09/Jul/2014:22:24:31 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 519 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:14:28:06 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:21:29 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:15:49:22 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:36:37 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0"
213.229.124.7 - - [10/Jul/2014:16:39:59 -0300] "POST /wp-content/themes/wilborada/wp-query.php HTTP/1.1" 200 132 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0

Saludos

Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

@ka0s, al parecer nosotros no vemos el WP porque esta activado el modo mantenimiento. Aparte, el .htaccess creo que lo puedes reconstruir desde Wordpress (como menciono MinusFour xD).

Saludos

[red.php]

Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD

@ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error.

En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log

Saludos

[988.000.000]

Faltan pasarse 988.000.000 archivos del FTP a mi PC

-________-

No pues todo menos la carpeta de uploads xD Ah.. y antes de subir el zip, modifica el wp-settings.php para no mostrar tus datos de acceso.

Saludos

Pues.. como no metas todo el wordpress en un .zip xD La idea es descargarlo y buscar archivos que contengan cosas sospechosas.. En windows el buscador de archivos también sirve.

Saludos

Desactiva todos los plugins. Busca otros .htaccess. Si tienes una terminal, intenta

Código (bash) [Seleccionar] Expandir

fgrep "shop.ru" -r *

Sobre el public_html.

Saludos

se a mi tambien xD El index ha cambiado pero lo demas no.

Saludos

barios != varios.

Si se bloquean suele ser por riesgo a terminar en flamewar.

Saludos