Backdoor bajo Akismet wordpress plugin

0

Mi sitio fue hackeado recientemente o mis usuarios filtraron sus contraseñas. El pirata informático instala este complemento con un shell o backdoor en él. El nombre del archivo es "honda.zip" y en su interior se encuentran los archivos de algunos complementos de Akismet. No se que es ¿Es peligroso? Por favor, hágamelo saber con todos los detalles que puedan ayudarme. ¡Gracias de antemano!

    
pregunta Jane Brye 22.11.2014 - 10:31
fuente

1 respuesta

0

El hacker usó una shell pública disponible MulCiShell v0.2. Puede configurarse para realizar una serie de funciones, incluidas contraseñas de forzados brutos, descargar todo el sitio y replicarse. Podrías echar un vistazo más de cerca a mshell.php para ver lo que hace.

Editar:

De tus archivos de registro:

Intentó acceder a / etc / passwd que contiene una lista de usuarios del sistema. Probablemente estaba tratando de cambiar a un usuario con privilegios adicionales. Intentó desde la línea 66-278 del registro y falló, probablemente porque el servidor web no se estaba ejecutando como root.

En la línea 300, intenta acceder a tu archivo .htaccess. Probablemente esté intentando modificarlo para permitir la ejecución de scripts CGI para que pueda acceder a / etc / passwd

Línea 406, intenta descifrar la contraseña de tu sitio. $ arr es una variable declarada en la línea 473 de mshell.php. Supongo que dejó en blanco el parámetro de publicación auth_url.

Línea 518, intenta acceder a .htaccess una vez más.

Línea 1272, último intento de zanja al intentar explotar un poco de desbordamiento de búfer en apache.

No creo que lograra comprometer la máquina, usó una herramienta disponible públicamente y no parecía saber lo que estaba haciendo. Dudo que él también cubriera sus huellas. Su IP 117.7.198.84 se origina en un ISP de vietnam y, además, el referente para algunas solicitudes es enlace . Aunque pudo haber comprometido una máquina en Vietnam y haberla utilizado como plataforma para atacar su sitio.

    
respondido por el limbenjamin 22.11.2014 - 13:35
fuente

Lea otras preguntas en las etiquetas