Soporte » Guías – Resolución de problemas » Malware detectado ¿Como lo quito?

  • Resuelto soydiego

    (@soydiego)


    Hola buenas gente, he descubierto que mi website en versión MOVIL me redirigía a otro sitio. He analizado el sitio web con: https://sitecheck.sucuri.net y he encontrado la parte del <script> que redirecciona.

    El problema es que la web no me indica cuales son los archivos precisos para que yo pueda borrar y editarlos. ¿Como podria hacer? He intentado buscar en la BD en wp_posts y en wp_options y no encontre nada con la palabra <script>.

    Dejo la imagen del reporte:
    https://i.imgur.com/2wrfWnN.png

    Espero su respuesta, muchas gracias!

Viendo 4 respuestas - 1 de 4 (de 4 total)
  • Moderador almendron

    (@almendron)

    Te dejo una guía: https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/

    Te recomiendo que sigas todos los pasos, uno a uno. Cualquier duda, la preguntas en este mismo hilo.

    soydiego

    (@soydiego)

    Hola @almendron gracias por responder.
    Si, ya todo eso lo hice, ya me lo habias explicado con otra web que tuve problemas.
    El problema con esto es que ya encontré el problema, es esa línea de codigo donde empieza el script, el problema es que no se donde esta ese archivo para quitarlo.
    Ya he pasado antivirus, tanto remotamente como localmente y no lo encuentra.

    Sería una locura revisar uno por uno los archivos.
    Incluso me instalé otro plugin antimalware y voy probando. Pero no llego a esa linea de código para borrarla…

    Gracias de nuevo

    Moderador almendron

    (@almendron)

    Uno de los pasos es reemplazar los archivos por los originales (WordPress, tema y plugins). Con eso deberías eliminar el código infiltrado.

    soydiego

    (@soydiego)

    Hola, ya he podido solucionarlo.
    El problema estaba en el plugin Yuzo Related Post (Más info aquí). Al parecer todavía no hay una corrección por lo tanto para solucionarlo hay que subir un archivo .PHP con el siguiente código de la siguiente forma:

    1. Copiar y pegar el código en cualquier editor de texto y ponerle ‘borrarMalware.php’.
    2. Subir este archivo en nuestra carpeta Root de WordPress.
    3. Ir a http://wwwTuSitioWeb.com/borrarMalware.php
    4) Borrar el archivo.

    <?php
    /*
     +=====================================================================+
     | (c) NinTechNet - https://nintechnet.com/                            |
     +=====================================================================+
     | Script to clean-up Yuzo Related Posts hack                          |
     +=====================================================================+
     | 1. Rename this file to "whatever.php".                              |
     | 2. Upload it into your WordPress root folder.                       |
     | 3. Go to http://YOUR WEBSITE/whatever.php                           |
     | 4. Delete it afterwards.                                            |
     +=====================================================================+
    */
    header('Content-Type: text/plain');
    
    if ( file_exists( __DIR__ . '/wp-config.php' ) ) {
    	$wp_config = __DIR__ . '/wp-config.php';
    } elseif ( file_exists( dirname( __DIR__ ) . '/wp-config.php' ) ) {
    	$wp_config = dirname( __DIR__ ) . '/wp-config.php';
    } else {
    	die("Cannot find wp-config.php");
    }
    
    require_once $wp_config;
    
    $yuzo = get_option( 'yuzo_related_post_options' );
    
    if ( empty( $yuzo['yuzo_related_post_css_and_style'] ) ) {
    	die("Nothing to delete!");
    }
    $deleted = $yuzo['yuzo_related_post_css_and_style'];
    $yuzo['yuzo_related_post_css_and_style'] = '';
    update_option( 'yuzo_related_post_options', $yuzo );
    echo "Done. The following code was removed:\n\n$deleted\n";
    
    // EOF
    
    

    Por otro lado he encontrado que era ese el problema gracias a un software que BUSCA TEXTO EN MÚLTIPLES ARCHIVOS A LA VEZ. Eso hizo ahorrarme mucho tiempo y es un software grandioso. Su nombre es Agent Ransack y es GRATUITO.

    Al saber la líneas de código maliciosas, he puesto una parte del código en el software y en segundos me ha indicado cuales eran los archivos maliciosos. Dejo una imagen para que vean:

    https://i.imgur.com/oI0zuz8.png

    Dejo toda la explicación por si a alguien le sirve, sobre todo el software. Fue muy muy útil.

    Saludos y gracias!

Viendo 4 respuestas - 1 de 4 (de 4 total)
  • Debes estar registrado para responder a este tema.