[SOLUCIONADO] Hackeo de Sitio Web con Wordpress Corriendo

Iniciado por maxel512, Septiembre 27, 2016, 05:22:21 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 27, 2016, 05:22:21 PM Ultima modificación: Octubre 14, 2016, 06:17:22 PM por Gabriela
Hola que tal gente, les vengo a hacer una consulta porque tuve un hackeo sobre una pagina web que ya lo revertimos. Pero comparando con otros .httaccess ya que este me daba error cuando intentaba restaurar una backup, dando por error que el .htaccess tenia mal los permisos. Cuando lo abrí, me encontré con esto, que no se si es normal en lo mas minimo.

Código: php
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-P.*-[0-9]+-([0-9]+).*-.*%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*..*$ ?$2$14=$16&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+.*-[0-9]+-.*-[0-9]+-.*-.*-[0-9]+-M.*%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+.*..*$ ?$8$7=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-P.*-[0-9]+-%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)[0-9]+.*-.*%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*..*$ ?$2$18=$20&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+.*-[0-9]+-.*-.*-[0-9]+..*$ ?$5$4=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*-.*-.*-[0-9]+-.*-.*-[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-.*-.*-.*-.*-[0-9]+\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%E[0-9]+%[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%E[0-9]+%[0-9]+%[0-9]+(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+.*-[0-9]+-.*-[0-9]+-.*-.*-[0-9]+..*$ ?$2$11=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-.*-.*-.*-.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-P.*-E.*-[0-9]+-L.*..*$ ?$2$4=$6&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-.*-.*-T.*-.*-P.*-.*-[0-9]+-.*-.*-.*-[0-9]+..*$ ?$2$6=$8&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%(.*)[0-9]+%E[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%E[0-9]+%[0-9]+%([^\d\/]+)[0-9]+%E[0-9]+%[0-9]+%([^\d\/]+)[0-9]+\/$ ?$10$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-P.*-E.*-[0-9]+-S.*-([0-9]+).*..*$ ?$2$12=$8&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-P.*-[0-9]+-S.*-.*%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*..*$ ?$2$14=$16&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-P.*-E.*-[0-9]+-(.*).*%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)[0-9]+.*..*$ ?$2$15=$8&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)-.*-.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-[0-9]+-.*-[0-9]+-.*-.*-[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)([0-9]+)[0-9]+%[0-9]+([^\d\/]+)(.*).*-[0-9]+_[0-9]+..*$ ?$5$4=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+.*-[0-9]+-.*-.*-.*-[0-9]+..*$ ?$7$6=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%([^\d\/]+)(.*)[0-9]+-[0-9]+.*[0-9]+..*$ ?$4$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%E[0-9]+%[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%E[0-9]+%[0-9]+%[0-9]+(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+.*-[0-9]+-.*-.*-.*-[0-9]+..*$ ?$12$11=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-.*-.*-T.*-.*-P.*-.*-[0-9]+-.*-.*-.*-[0-9]+..*$ ?$2$4=$6&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-P.*-[0-9]+-P.*-.*%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*[0-9]+..*$ ?$2$14=$16&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%E[0-9]+%[0-9]+%[0-9]+%([0-9]+)[0-9]+%[0-9]+%E[0-9]+%[0-9]+%[0-9]+(.*)%([0-9]+)[0-9]+%[0-9]+%([0-9]+)[0-9]+%(.*)([0-9]+).*-.*-.*-.*-T.*-.*-P.*-.*-[0-9]+-.*-.*-.*-[0-9]+..*$ ?$2$11=$13&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%[0-9]+.*-[0-9]+-.*-[0-9]+-.*-.*-[0-9]+..*$ ?$2$4=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*-[0-9]+-.*-.*-[0-9]+..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+%([0-9]+)[0-9]+%([^\d\/]+)[0-9]+.*-[0-9]+-.*-.*-.*-[0-9]+..*$ ?$5$4=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)_.*_.*_.*_[0-9]+_([0-9]+)_.*_[0-9]+_([0-9]+)_$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress


Si alguien me puede decir que les parece, les agradezco...
Septiembre 27, 2016, 07:51:49 PM #1
Hola,

Podrías especificar que plugins tenias instalados?

Saludos,
ANTRAX

Septiembre 27, 2016, 08:52:10 PM #2
amigo como te pregunta Antrax, wordpress usualmente es hackeada a traves de los plugins,verifica no tengas plugins vulnerables y dale una revisada con WPScan a ver que encuentra
Octubre 03, 2016, 06:02:34 PM #3
Buenas! Disculpen la Demora. Esta es la lista de Plugins ACTIVOS:

WP Maintenance Mode
WP Google Maps
WP Editor
White Label CMS
Really Simple CAPTCHA
OSD Remove All Wordpress Branding
Login Wall
Google XML Sitemaps v3 for qTranslate
Contact Form 7
AccessPress Social Share

Cabe destacar que es un cliente de una empresa que decidio hacerse "cargo" el mismo de su sitio, teniendo ahora que estoy mirando la mayoria de.... bueno, todo sin actualizar. Claro que eso evidencia el porque el hackeo, pero era para saber mas que nada que era todo eso que aparecia en el .htaccess. Saludos!
Octubre 05, 2016, 01:17:31 PM #4
Lo del .htaccess puede ser por diferentes plugins, por defecto no es así.

Aunque no veo nada raro en el.

Saludos.


Octubre 05, 2016, 01:23:29 PM #5
lo mas probable es que fuera a travez del servidor con symlinks o como se escriba o hackearon otra pagina y con alguna shell subieran de directorio y entraran a esa web eso es lo mas comun si todo esta actualizado obviamente

igual seria bueno que revisaras el log.
Código: cpp
:)
Octubre 14, 2016, 05:48:14 PM #6
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
lo mas probable es que fuera a travez del servidor con symlinks o como se escriba o hackearon otra pagina y con alguna shell subieran de directorio y entraran a esa web eso es lo mas comun si todo esta actualizado obviamente

igual seria bueno que revisaras el log.

Muchas gracias Moy, fue eso lo que paso. El hosting que usamos es compartido y me dijeron que tal cual; caia uno y caiamos todos xD

Ahora revisando con el ESET aparecio una SHELL de nombre popup-pomo.php en themeeditor, asi que ya la retire. Muchas gracias gente. les dejo una foto de despedida de como nos embananaron ;D





Imprimir
Ir Arriba Páginas1
Acciones del Usuario