Mensajes

LOL me acaba de dar cuenta que la pagina que dice que estamos renovando es un error 500 también... XD Solo que personalizado.

La página sigue tirando el mismo errror: Status Code:500 Internal Server Error. Es extraño que no haya entradas de red.php... ¿de que otra manera se ejecutaría el código? ¿Lo mandan a llamar desde otro archivo?

Edit: Ya no me tira error 500.

Buenas, parece que la web ya esta bien =)

Tema de como se infecto..

Parece que Wordpress esta en su ultima version (3.9.1) y no creo que sea por el ( a no ser que los atacantes tuviesen un 0-day).

Me parece que es cosa de algún plugin o bien de la débil contraseña que tiene tu amiga. Me he descargado el access-log.txt y estoy revisando a ver si encuentro algo relevante aunque son 37 megas xDD

PD: El formulario de contacto no esta, porque es un plugin y lo tienes desactivado xD.

Saludos

Haz un grep red.php?mode=setconfig o grep red.php?mode=config, a ver si hay entradas recientes alrededor de ahí.

Todavia no puedo ver la pagina, me sale en blanco :/. Si, me esta devolviendo un error 500.

Preguntale a tu amiga, ella debio de haber puesto eso.

Y en cuanto a lo de si volvera a suceder, es probable. Hay muchos plugins que te pueden afectar, sin mencionar aquellos que estan disfrazados para joderte. Lo ideal sería minimizar código externo al oficial de wordpress a menos que lo estes haciendo tú y sepas lo que haces.

¿Los links apuntan a la pagina de las pildoras? ¿O apuntan a la pagina que corresponde y está te lleva a la pagina de las pastillas? Por lo menos pegame el HTML de la pagina XD!

[red.php]

Buenas, ka0s de buena fe me dejo acceder al servidor FTP y he hecho una busqueda y creo que no queda ningun red.php ni nada que lleve pills.ru xD

@ka0s, el htaccess lo tienes como _.htaccess. Por eso, apache no lo toma en cuenta. El problema es que si lo activo (lo he probado) el servidor tira 500 Internal Server Error.

En principio parece que nos hemos librado del malware ahora el problema es volver a configurar wordpress para sus urls amigables. El htaccess es el mismo que dejo MinusFour.. debe tener algun problema voy a revisar el error.log

Saludos

El .htaccess no tiene mucho sentido la verdad. Muchas directivas Allow, Deny pero están al aire.

Por ejemplo si quiere protejer el fichero .htaccess debe hacer:

Código (apache) [Seleccionar] Expandir


<Files ".htaccess">
order allow,deny
deny from all
</Files>

Al final hay una directiva de Allow así que no debería haber problema pero quien sabe si se tome en cuenta esa directiva. Lo mismo con el wpconfig.php.

Edit: Si vuelves a guardar la configuración de permalinks te vuelve a hacer el .htaccess (si tiene permisos para hacerlo).

To recreate your .htaccess file visit your permalinks setting and save them again. That should create for you a new file or at least tell you exactly what to put into that file.

http://your-blog-url-here/wp-admin/options-permalink.php

No creo que se esten ejecutando ninguna de las reglas ahí, pero creo que si sobrescrbiste el .htaccess de wordpress. Intenta meterte al panel y vuelve a guardar la configuración de los permalinks a ver si esto te crea un nuevo archivo .htaccess

Parece que no es eso, y creo que tiene sentido porque tu la puedes ver y nosotros no xD.

Guarda el archivo .htaccess asi:

Código (apache) [Seleccionar] Expandir


# protege el fichero htaccess
order allow,deny
deny from all

# desactiva la firma del servidor
ServerSignature Off

# limita la carga de archivos a 10mb
LimitRequestBody 10240000

# protege wpconfig.php
order allow,deny
deny from all

#quien tiene acceso y quien no
order allow,deny

#denegar desde 000.000.000.000
allow from all

#documentos personalizados de error (lo cambias por los tuyos)
ErrorDocument 404 /notfound.php
ErrorDocument 403 /forbidden.php
ErrorDocument 500 /error.php

# desactiva la navegacion de directorios
Options All -Indexes

#desactiva el robo de imagenes con la opcion de una imagen personal
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?wilborada.com.ar/.*$ [NC]
#RewriteRule \.(gif|jpg)$ - [F]
#RewriteRule \.(gif|jpg)$ http://wilborada.com.ar/imagen_robada.gif [R,L]

# compresion php - usar con precaucion
php_value zlib.output_compression 16386

# establece la url canonica (amigable)
RewriteEngine On
RewriteCond %{HTTP_HOST} ^wilborada.com.ar\.com$ [NC]
RewriteRule ^(.*)$ http://wilborada.com.ar/$1 [R=301,L]

# protege de comentarios spam
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*wilborada.com.ar.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
RewriteRule ^post/([0-9]+)?/?([0-9]+)?/?$ /index.php?p=$1&page=$2 [QSA]

Algunas cosas no encajan eh. Edit: MUCHAS COSAS NO ENCAJAN XD

Edit: #!drvy no me di cuenta que hice doble post si puedes juntar mis posts mejor XD.

Yo hablo de está linea:

Código [Seleccionar] Expandir


RewriteRule ^(.*)$ http://\cf4 \cb5 wilborada.com.ar\cf2 \cb3 /$1 [R=301,L]\


Porque si le hago un wget a tu index.php.

Código [Seleccionar] Expandir


HTTP request sent, awaiting response... 301 Moved Permanently

Y como dice #!drvy no copies las cosas de tu amiga, solo las cosas del wordpress. Nada de los libros...

Uff, me tardaré un poco en hacer un zip de la web. Denme tiempo. Por lo pronto no se como hacer o que modificar para que ustedes puedan visualizar la web. Yo la veo en Firefox pero en IE me aparece "nos estamos renovando blablabla" (El aviso que ha puesto mi amiga cuando se la hackearon)

Quiero creer que es el R=301 del .htaccess que pusiste. ¿Por cierto como has abierto el archivo .htaccess? ¿Desde notepad? No veo como apache puede estar ignorando todo ese formato innecesario.