Mensajes

Lo único que recomiendo es que los admins y usuarios con permisos tengan passwords únicas y seguras. De las urls de joomla no pude encontrar nada más, las examine todas porque eran pocas y fuera de esas entradas raras no encontre nada.

De wordpress muchas llamadas a un archivo systemcash.php y me parece que dijo #!drvy que lo habían borrado. Puede ser que el archivo haya sido subido por FTP pero obviamente esto no aparecera en el log de apache.

Esto lo he visto en otro foro, posts desde hace un mes:

We recently saw this exact named file show up on a few wordpress sites. In every case it was uploaded via FTP login.

http://www.webhostingtalk.com/showthread.php?t=1387485

Parece ser que el 4 de julio le hicieron un ataque de fuerza bruta a la pagina de login de wordpress. Un ataque de mas de 9000 intentos en dos horas... pero no estoy seguro si consiguieron la password o no. Por lo que veo cuando el usuario se loguea lo redirecionan a wp-admin y nunca paso esto, pero a saber si el programita sigue los headers del HTTP.

He borrado las lineas directamente.. eso no puede ser de joomla.. tiene que haber sido modificado por algun h4x0r xD

Todo esta en el access-log.txt que tienes al principio cuando entras al FTP.. el problema es que ese log solo muestra lo que se ha visitado.. si el tipo ese ha metido mas en otro lado... jodido.

PD: @MinusFour, si quieres te paso el access-log ?

Saludos

¿Crees que haya más backdoors por ahi? Si quieres le doy un vistazo.

¿Esa linea es innecesaria? No vay a ser que la ocupen para algo. El eval para que jodidas lo están usando directamente en una variable GET o POST, que puede ser tan importante para enviarlo así.

Por cierto, hay otras entradas que hacen lo mismo. Edit: La 4 y la 5 entrada.

Trato de intentar entender lo que dices, pero se me complica mucho.
Como puedo corregir eso de la variable que dices?? En que archivo se encuentra?
Gracias Minus

No se de que archivo, solo se que le estan pasando una variable GET y no están escapando los caracteres especiales, por lo que el código se ejecuta. Realmente lo único que he probado es: echo $_SERVER["SERVER_NAME"] para lo cual me trae:

Código [Seleccionar] Expandir

www.wilboradalibros.com.ar

Veremos que dice #!drvy de eso.
Yo por lo pronto estoy intentando acceder al panel de admin de Joomla para ver que versión tiene y que cosas está usando... -_-.
Ojala podamos encontrar la vulnerabilidad que han dicho arriba

Seria muy facil subir un script ahi por medio de fopen() y luego simplemente llamarlo a ejecutar.... y puedes hacer lo que tu quieras con eso XD.

Parece que hay una variable ahí que no esta siendo limpiada, una $GET["req"]. Esas entradas simplemente están haciendo un echo, no se si alguien más haya hecho algo.

EDIT: Parece que si puedes hacer XSS por medio del primero, cuarto y quinto link.

Entonces si era cosa del tema

Ya lo mire no tiene ninguno.  Parece que lo que falla es el tema actual.. si vuelve a los defaults de Wordpress si que funciona.

Saludos

¿Quizás sea porque el tema no está actualizado para la 3.9.1? Ka0s dijo que actualizo de versión de wordpress recientemente, quizás necesite ajustes el tema. Y si tiene plugins viejos también habria que revisarlos si funcionan con la nueva versión.

EY ! Estoy aquí xDD estoy buscando al culpable del error 500.. Mientras tanto..

Encontre al culpable del juankeo..
http://paste.debian.net/plain/111546 Es posible que tengas una vulnerabilidad en

Código [Seleccionar] Expandir

http://wilboradalibros.com.ar/peritajedearte/

Saludos

Esas entradas parece que son de un Joomla. ¿Seguro que de ahí viene el juank?

Eso se quita desde el .htaccess MinusFour??
Sigo esperando instrucciones, no se como proceder .
#!drvy se debe haber ido a dormir xD

¿Hay algún archivo .maintenance en tu directorio de wordpress? ¿Dices que los plugins estan desactivados?