posible exploit en wp-commerce

Hola gente, pues nada, que he descuebierto que uno de mis sitios que iiiiiiiiiiiiiiiiibaaaaaaaaaaaaaaaa eeeeeeeeeeeeeeessssssssssssspaaaaaaaaaaannnnnnnntosamente lento tenia unos 16.000 usuarios. Comor? no puede ser, para empezar, porque tengo la creacion de usuarios desactivada. Aqui hay algo raro, pues nada, como desde la administracion no podia borrarlos me he ido a la base de datos y tras descubirir que ellos solitos representaban la mitad del volumen total de la misma, lo he borrado y procedido a xtaminar la web.

Pues nada, esto que voy borrando plugins que no uso... quitando tablas de la base de datos sospechosas... y vuelvo a las tablas de usuarios y coño! otra vez, 10 o 12 users nuevos en este rato... me caguen la leche... donde ####### estará el agujero. Pues esto que borro el plugin wp-commerce que total, para lo que lo uso... y sigo buscnado cosas raras. Al cabo de unos minutos (mas o menos los mismo que la vez anterior) vuelvo a comprobar las tablas y ... nada raro. Aun asi he terminado de comprobar y localizado (y borrado) un par de capetas chungas en uploads (un "bonito formulario" para atacar desde ahi mismo, que cucos). De todos modos como el choteo se ha cortado al borrar ese plugin, imagino que requieren de él para el ataque, asi que ya sabeis si usais WP-Commerce (no woocommerce, wp-commerce) echadle un ojo a la carpeta uploads, al numero de usuarios y a la base de datos.

Para esos casos recomiendo el plugin Wordfence.

Revisa todos los archivos y tablas del WP y te indica donde hay código sospechoso.

ah, no, no ha sido a nivel de servidor porque otras webs ahi mismo no han sufrido ataque alguno, solo la que tenia ese plugin
y la velocidad segun google ha subido 20 puntazos de un triste 60 a 80 (ok, de por medio tambien he activado la cahce de imagenes y smusheado imagenes tambien, peor eso solo fue lo primero y solo supuso 2 puntos, el resto, de limpiar la mierda)

- - - Actualización- - -

Orquin dijo:

Para esos casos recomiendo el plugin Wordfence.

Revisa todos los archivos y tablas del WP y te indica donde hay código sospechoso.

Click para expandir ...

gracias Orquin :mola: , pero lo he probado y no me gusta nada. Entre otras troleadas que me ha hecho, una pirula super maja con los permisos de una web , que convirtió subir fotos en tortura china. y ni que decir de usar el actualizado automatico

ademas de los correitos de "hayuna actualizacion"... uf, con 1 web, o 2... vale... pero con 50 o 60 ... xD

prefiero tirar por caminos mas manuales. aun asi, se agradece

A mí me sacó de un apuro (muchos plugins y ficheros infectados) después se desactiva y listo.

Da falsos positivos con la versión en español de WP, pero con un poco de idea sirve.

Orquin dijo:

A mí me sacó de un apuro (muchos plugins y ficheros infectados) después se desactiva y listo.

Da falsos positivos con la versión en español de WP, pero con un poco de idea sirve.

Click para expandir ...

si, puede ser una pocion, ponerlo que revise y quitarlo

pero (pregunto) localiza los ficheros chungos incluso aunque se infectasen antes de instalarlo? yo es que lo que mas he usado en el pasado (sobre todo para oscommerce) lo tenias que tener rulando todo el rato porque lo que hacia era una comprobacion inicial y despues con un cron revisaba. si habia cambios, mail al canto.

Yo lo instalé después de infectado y me dio la sensación que lo que hace es comparar con los ficheros originales de la versión wp que tengas funcionando. Por eso da falsos positivos en ficheros como license.txt, wp-includes/version.php, readme.html o wp-config-sample.php teniendo la versión en español.

Además de esos falsos positivos me encontró muchos index.php que deberían tener 3 líneas así:

y tenían:


También detecta los ficheros de plugins o themes, que simplemente tengan código encriptado.

pues esta vez ya lo he solucionado manual, pero me lo apunto para darle una oportunidad :mola: