Desinfectando un Wordpress

  • 1 Respuestas
  • 3042 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5702
  • Actividad:
    100%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Desinfectando un Wordpress

  • en: Septiembre 26, 2017, 04:57:26 pm

Como todos saben, Wordpress es un CMS que vive actualizándose constantemente, cuando no lo actualizamos, corremos riesgos de que alguien pueda entrar y manipular el sitio a su gusto. El día de ayer me llamó un cliente con que su sitio web hecho en wordpress, redireccionaba a otra URL. En este caso su sitio web redirecciona a You are not allowed to view links. Register or Login


Me pasé un buen rato googleando y no encontré nada al respecto, es por ello que me puse a investigar un poco más el comportamiento del sitio.
Revisando el FTP, me topé con carpetas que no tenían nada que ver con Wordpress


Obviamente el sitio había sido infectado y tenía un script que redireccionaba a otro sitio.
El paso siguiente fue borrar todos esos directorios, para ver si así podía evitar la redirección, pero no funcionó. Es por ello que acudí al depurador de Firefox.

Algo a aclarar, es que esta redirección solo se realizaba 1 sola vez, por lo que para volver a ver esta anomalía, debía limpiar caché o entrar con la navegación privada.

Al inspeccionar el comportamiento de la página, me topé con esto:


Me pareció muy raro... estaba todo en hexadecimal… decidí pasar todo a ASCII para saber de que se trataba


Como se puede ver en la imagen, era un script que ejecutaba la URL: You are not allowed to view links. Register or Login
Al entrar a esa URL me topé con lo siguiente:

Código: Javascript
  1. function process() {
  2.                 window.location = "http://gualdacatas.com/";
  3.             }
  4.             window.onerror = process;
  5.             process();

Que es justamente a la web que me estaba redireccionando… Teniendo esto, ya tenía más herramientas para Googlear. Y me topé con que "keit.staticweb.tk" es un falso plugin de Wordpress llamado _bb_press que redirecciona a otros sitios, como pornográficos, entre otros…

Ahora viene la parte divertida… Encontrar y romper esa redirección.

Al tratarse de un Plugin falso, simplemente fui directo al directorio de plugins que está en wp-content/plugins y me encontré con uno llamado press_test515215 por razones obvias, supe que era ese.


Al entrar a la carpeta de ese plugin, había un archivo llamado press_test515215.php en su interior incluía a otro archivo más

Código: PHP
  1. include(You are not allowed to view links. Register or Login(__FILE__) . '/includes/_bb_press_plugin.class.php');

Al abrir este Segundo archivo me topé con esto:


Y ahí lo tienen! Esa era la redirección que estaba haciendo el Wordpress. Solucionarlo fue fácil. Solo basta con borrar el plugin y el sitio dejará de redireccionar.

Espero que les sea de utilidad!
ANTRAX


Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 239
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Desinfectando un Wordpress

  • en: Septiembre 27, 2017, 10:39:56 am
Muy bueno, me servira para inminentes auditorias  :D


saludos!

 

[WordPress] Instalando y Configurando "Google Analytics"

Iniciado por JaAViEr

Respuestas: 0
Vistas: 1607
Último mensaje Abril 09, 2014, 01:48:17 am
por JaAViEr
Curso: [Academia WordPress 2016] [Aprende A Crear Sitiros Web De Verdad]

Iniciado por Mr.Kratos

Respuestas: 0
Vistas: 3033
Último mensaje Julio 21, 2018, 04:24:05 pm
por Mr.Kratos
[HERRAMIENTA] Excelente sitio de recursos para Wordpress y Joomla

Iniciado por m3thod.mdf

Respuestas: 2
Vistas: 3466
Último mensaje Febrero 26, 2017, 05:53:19 pm
por Leahghost
[VIDEOTUTORIAL] Video2Brain – Especial WordPress Seguridad (2014)

Iniciado por graphixx

Respuestas: 0
Vistas: 1890
Último mensaje Febrero 27, 2016, 05:27:36 pm
por graphixx
Themosis Framework, para desarrolladores WordPress

Iniciado por graphixx

Respuestas: 0
Vistas: 1914
Último mensaje Enero 16, 2016, 11:38:28 pm
por graphixx