Foros » Seguridad » Htaccess malicioso en instalación de WP infectada –

  • Hola a todos

    Tengo un alojamiento (compartido, de los más baratos) infectado, en el cual hay 2 instalaciones de WordPress, donde hay casi en cada directorio habido y por haber archivos .htaccess como el que he copiado aquí abajo como ejemplo;

    también archivos wp-login.php en el directorio wp-content/uploads (!) con comandos eval & base64_decode (!), archivos anómalos en el directorio raíz como ser logIn.php, wp-corn-sample.php (!!!), wp-ver.php (!) etc, todos estos archivos con código ‘encriptado’ …

    mi pregunta es; que tipo de infección es?
    redirección maliciosa?
    puerta trasera?
    pharma hack?
    descarga no autorizada?

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php - [L]
    RewriteRule ^.*\.[pP][hH].* - [L]
    RewriteRule ^.*\.[sS][uU][sS][pP][eE][cC][tT][eE][dD] - [L]
    <FilesMatch "\.(php|php7|phtml|suspected)$">
        Deny from all
    </FilesMatch>
    </IfModule>

    Agradezco la ayuda y la orientación,

    La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 13 respuestas - de la 1 a la 13 (de un total de 13)
  • Iniciador del debate Martín

    (@martu)

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^(index|wp\-admin|wp\-include|wp\-comment|wp\-loader|wp\-corn\-sample|wp\-logln|output|about|admin|randkeyword|readurl|wp\-ver).php$ - [L]
    RewriteRule ^.*\.[pP][hH].* index.php [L]
    RewriteRule ^.*\.[sS][uU][sS][pP][eE][cC][tT][eE][dD] index.php [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . index.php [L]
    </IfModule>

    aquí está el .htaccess de la carpeta raíz, nótese la 1er. regla RewriteRule / expresión regular que se encarga de crear los archivos maliciosos como ser wp-logln.php … que entiendo trabaja en conjunto con el index.php pirateado …

    anniebv20

    (@anniebv20)

    Me pasa lo mismo. Llegaste a solucionarlo?

    Moderador almendron

    (@almendron)

    Guía: https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/

    El htaccess debes borrarlo. Se reherará una vez hayas limpiado el sitio y configures los «Enlaces permanentes»

    anniebv20

    (@anniebv20)

    hay alguna forma de borrar masivamente cada htaccess que se a creado? Por qué es demasiado por cada carpeta que tiene WordPress hay una archivo htaccess

    Moderador almendron

    (@almendron)

    Los directorios wp-admin y wp-includes vas a tener que borrarlos cuando subas un wordpress limpio (sube la misma versión que tienes ahora).

    Con los plugins haz lo mismo: vía FTP borras todo el contenido de la carpeta de cada plugin y luego subes la copia limpia.

    Con esto ya te quedarán pocas carpetas por revisar.

    Esto que te comento debes hacerlo en el paso correspondiente de la guía que te pasé.

    anniebv20

    (@anniebv20)

    borre todo los archivos solo deje la carpeta principal, vuelvo a instalar WordPres, si bien solo hay un archivo htaccess, este se modifica y pasa lo mismo no puedo ingresar al wp_admin, siempre muestra el index

    Moderador almendron

    (@almendron)

    ¿Estás siguiendo la guía paso a paso?

    si, estoy siguiendo la guía, ahora borre todo la carpeta pensando hacerlo de cero, pero se vuelve a crear la carpeta con 2 archivos que tienen codigos raros, supongo q en algún otro lado existe un código q hace q se vuelva a crear esos archivos, la pregunta es ¿Cómo puedo ubicar ese archivo para eliminarlo?

    Iniciador del debate Martín

    (@martu)

    Estimados:
    pregunté qué tipo de infección es la que tuve, alguien sabe identificarla?

    Moderador almendron

    (@almendron)

    @martu La verdad es que ni idea

    Moderador almendron

    (@almendron)

    @anniebv20 ¿De qué carpeta estamos hablando?

    la carpeta principal que lleva el nombre del dominio

    Moderador almendron

    (@almendron)

    ¿Lo has podido solucionar?

Viendo 13 respuestas - de la 1 a la 13 (de un total de 13)
  • Debes estar registrado para responder a este debate.