Comentarios en: Inyección de enlaces en WordPress http://www.dondado.es/2008/05/inyeccion-de-enlaces-en-wordpress/ Blog de David Casado: Blogs, Internet, tecnología, curiosidades Tue, 07 Feb 2012 05:55:08 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Por: En guerra con Google, parte I : Tengo Un.Com.ar http://www.dondado.es/2008/05/inyeccion-de-enlaces-en-wordpress/comment-page-1/#comment-3323 En guerra con Google, parte I : Tengo Un.Com.ar Sat, 18 Oct 2008 00:02:54 +0000 http://www.dondado.es/?p=1077#comment-3323 [...] lo primero que se me ocurrio fue que algún pendejo que andaba con ganas de hacer daño me hubiera insertado spam en el theme, lo que automaticamente me hizo mandarlo a que se fije, chequeó y estaba todo ok, le [...] [...] lo primero que se me ocurrio fue que algún pendejo que andaba con ganas de hacer daño me hubiera insertado spam en el theme, lo que automaticamente me hizo mandarlo a que se fije, chequeó y estaba todo ok, le [...]

]]> Por: serantes http://www.dondado.es/2008/05/inyeccion-de-enlaces-en-wordpress/comment-page-1/#comment-3322 serantes Mon, 07 Jul 2008 16:13:58 +0000 http://www.dondado.es/?p=1077#comment-3322 Pues me uno al club de las víctimas. Llevo unos días de tocadura de pelotas por parte de los artistas de la red que no veas. En mi caso lo insuflan en las entradasd del modo que estais comentando y los muy condenados además cierran los comentarios y los trackbacks que es por lo que me entero... Le he puesto un correo a una de las webs a donde dirigía el spam. Estaban metidas esas páginas en una carpeta del servidor de una web de fotografía, imagino que contrataría servicios de SEO y los artistas han elegido la opción más fácil, atacarnos a todos los atacables. No me han contestado por supuesto. En fin, gracias por la información. Saludos David Serantes Pues me uno al club de las víctimas. Llevo unos días de tocadura de pelotas por parte de los artistas de la red que no veas.
En mi caso lo insuflan en las entradasd del modo que estais comentando y los muy condenados además cierran los comentarios y los trackbacks que es por lo que me entero…
Le he puesto un correo a una de las webs a donde dirigía el spam. Estaban metidas esas páginas en una carpeta del servidor de una web de fotografía, imagino que contrataría servicios de SEO y los artistas han elegido la opción más fácil, atacarnos a todos los atacables. No me han contestado por supuesto.
En fin, gracias por la información.
Saludos
David Serantes

]]> Por: dondado http://www.dondado.es/2008/05/inyeccion-de-enlaces-en-wordpress/comment-page-1/#comment-3321 dondado Wed, 02 Jul 2008 22:50:29 +0000 http://www.dondado.es/?p=1077#comment-3321 Si te fijas al final del informe ya te dice que aparecerá él mismo en la lista de vulnerabilidades ya que contiene las cadenas que después va a buscar. El último error posiblemente se deba a permisos, no tendrás permisos de escritura en el directorio donde quiere dejar ese temporal pero yo lo dejaría correr. Bueno, pues suerte, ya falta poco para la versión 2.6 que seguro que trae mejoras de seguridad Si te fijas al final del informe ya te dice que aparecerá él mismo en la lista de vulnerabilidades ya que contiene las cadenas que después va a buscar.
El último error posiblemente se deba a permisos, no tendrás permisos de escritura en el directorio donde quiere dejar ese temporal pero yo lo dejaría correr.
Bueno, pues suerte, ya falta poco para la versión 2.6 que seguro que trae mejoras de seguridad

]]> Por: unartists http://www.dondado.es/2008/05/inyeccion-de-enlaces-en-wordpress/comment-page-1/#comment-3320 unartists Wed, 02 Jul 2008 22:38:19 +0000 http://www.dondado.es/?p=1077#comment-3320 Gracias, por tus consejos, dondado. Probé con lo de los permisos 744 pero entonces no me dejaba entrar como administrador y le he vuelto a poner 755. Lo que si he hecho es limpiar los pluguins que no gasto, quitar el wp-poll y cambiar por enésima vez las contraseñas. Además le he dado permisos 555 a los tres archivos donde normalmente me inyectan el spam. A día de hoy no me han inyectado nada pero no me fío porque ya otras veces he estado más de una semana tranquilo y cuando menos lo esperaba otra vez me atacaban. Ya os contaré Otra cosa, el exploit scanner me dice esto: 1. "shell_exec" Executes a server command like ls, cd, wget, etc. This may be a script used by hackers. /home/.nurice/interacciones/interaccioneselectorales.org/wp-content/plugins/exploit-scanner/exploit-scanner.php r what operating system your server is running", "shell_exec" => "Executes a server command like ls, cd, wget, etc. This may be a script used by hackers.", "YW55cmVzdWx0cy5uZXQ=" => "Base64 encoded text found in PHP code that redirects visitors from Google.", "" => "HTML code 2. /home/.nurice/interacciones/interaccioneselectorales.org/wp-includes/js/tinymce/plugins/spellchecker/classes/PSpellShell.php rror("PSpell support was not found."); $data = shell_exec($cmd); @unlink($this->_tmpfile); $returnData = array(); $dataArr = preg_split("/[\r\n]/", $data, -1, PREG_SPLIT_NO_EMPTY); foreach ($dataArr as $dstr) { $matches = array(); // Skip this line. if (strpos($dstr, "@") === -------------------------------------------------------------------------------- throwError("Error opening tmp file."); $data = shell_exec($cmd); @unlink($this->_tmpfile); $returnData = array(); $dataArr = preg_split("/\n/", $data, -1, PREG_SPLIT_NO_EMPTY); foreach($dataArr as $dstr) { $matches = array(); // Skip this line. if (strpos($dstr, "@") === 0) Como no domino el tema no sé que hacer con esa información. Alguno de vosotros ¿sabría decirme si el fallo que ha detectado es un verdadero xploit y cómo deshacerme de él sin cargarme nada importante? Muchas gracias Gracias, por tus consejos, dondado.

Probé con lo de los permisos 744 pero entonces no me dejaba entrar como administrador y le he vuelto a poner 755. Lo que si he hecho es limpiar los pluguins que no gasto, quitar el wp-poll y cambiar por enésima vez las contraseñas. Además le he dado permisos 555 a los tres archivos donde normalmente me inyectan el spam.

A día de hoy no me han inyectado nada pero no me fío porque ya otras veces he estado más de una semana tranquilo y cuando menos lo esperaba otra vez me atacaban.

Ya os contaré

Otra cosa, el exploit scanner me dice esto:
1.
“shell_exec” Executes a server command like ls, cd, wget, etc. This may be a script used by hackers.
/home/.nurice/interacciones/interaccioneselectorales.org/wp-content/plugins/exploit-scanner/exploit-scanner.php
r what operating system your server is running”, “shell_exec” => “Executes a server command like ls, cd, wget, etc. This may be a script used by hackers.”, “YW55cmVzdWx0cy5uZXQ=” => “Base64 encoded text found in PHP code that redirects visitors from Google.”, “” => “HTML code

2.

/home/.nurice/interacciones/interaccioneselectorales.org/wp-includes/js/tinymce/plugins/spellchecker/classes/PSpellShell.php
rror(“PSpell support was not found.”);

$data = shell_exec($cmd);
@unlink($this->_tmpfile);

$returnData = array();
$dataArr = preg_split(“/[\r\n]/”, $data, -1, PREG_SPLIT_NO_EMPTY);

foreach ($dataArr as $dstr) {
$matches = array();

// Skip this line.
if (strpos($dstr, “@”) ===

——————————————————————————–

throwError(“Error opening tmp file.”);

$data = shell_exec($cmd);
@unlink($this->_tmpfile);

$returnData = array();
$dataArr = preg_split(“/\n/”, $data, -1, PREG_SPLIT_NO_EMPTY);

foreach($dataArr as $dstr) {
$matches = array();

// Skip this line.
if (strpos($dstr, “@”) === 0)

Como no domino el tema no sé que hacer con esa información. Alguno de vosotros ¿sabría decirme si el fallo que ha detectado es un verdadero xploit y cómo deshacerme de él sin cargarme nada importante?
Muchas gracias

]]> Por: dondado http://www.dondado.es/2008/05/inyeccion-de-enlaces-en-wordpress/comment-page-1/#comment-3319 dondado Tue, 01 Jul 2008 22:24:37 +0000 http://www.dondado.es/?p=1077#comment-3319 Pues sí ya tienes la versión de WP actualizada yo lo siguiente que haría es: 1.- Restringir permisos en el servidor, en general con permisos 744 debería funcionar todo excepto la carpeta wp-content (si es que quieres subir las cosas desde el propio WP en lugar de utilizar el FTP) 2.- Eliminar todos los plugins que no necesites, he visto al menos un par de ellos que tienes activados y a los que no estás dando uso 3.- Cambiar las contraseñas de acceso por si el problema es tan simple como que la han averiguado, y por si acaso revisa la cuenta de correo electrónico que tienes asociada por si tiene alguna redirección automática que tú no hayas puesto, y ya de paso no viene mal cambiar la contraseña del correo de vez en cuando Pues sí ya tienes la versión de WP actualizada yo lo siguiente que haría es:
1.- Restringir permisos en el servidor, en general con permisos 744 debería funcionar todo excepto la carpeta wp-content (si es que quieres subir las cosas desde el propio WP en lugar de utilizar el FTP)
2.- Eliminar todos los plugins que no necesites, he visto al menos un par de ellos que tienes activados y a los que no estás dando uso
3.- Cambiar las contraseñas de acceso por si el problema es tan simple como que la han averiguado, y por si acaso revisa la cuenta de correo electrónico que tienes asociada por si tiene alguna redirección automática que tú no hayas puesto, y ya de paso no viene mal cambiar la contraseña del correo de vez en cuando

]]> Por: unartists http://www.dondado.es/2008/05/inyeccion-de-enlaces-en-wordpress/comment-page-1/#comment-3318 unartists Tue, 01 Jul 2008 20:55:57 +0000 http://www.dondado.es/?p=1077#comment-3318 Hola, tengo un problema similar al que cuentas y no consigo solucionarlo. Me inyectan cientos de enlaces tipo viagra con cuerpo de letra -241 en los archivos head.php, footer.php o sidebar.php Los de google me penalizaron un mes y yo me dedico a quitarlos a mano pero a los pocos días vuelvo a estar infectado. Al final ya nadie encuentra mis páginas porque gogle y cia ya ni me sacan y yo no sé que hacer (no soy programador ni webmaster ni nada). Alguien me puede ayudar Hola, tengo un problema similar al que cuentas y no consigo solucionarlo. Me inyectan cientos de enlaces tipo viagra con cuerpo de letra -241 en los archivos head.php, footer.php o sidebar.php

Los de google me penalizaron un mes y yo me dedico a quitarlos a mano pero a los pocos días vuelvo a estar infectado. Al final ya nadie encuentra mis páginas porque gogle y cia ya ni me sacan y yo no sé que hacer (no soy programador ni webmaster ni nada). Alguien me puede ayudar

]]>