Problema de seguridad 4.3.1
-
Hola, hace una semana infectaron nuestro dominio eude.es, se crean URL ficticias como por ejemplo:
/best-cv-writing-service-london/
/write-problem-solution-essay-ppt/
/essay-writing-services/
/writing-assignment-expert/Así hasta 2000 con página externas. Cuando reinstalo el wordpress en la versión 4.3.1 se soluciona el problema pero al día siguiente vuelve a ocurrir lo mismo.
¿Alguien sabe algo?
Gracias!
-
Otra nota, casi siempre llaman a un tal fichero -> /scream.php
Hola,
Lo primero es que cuando subes una copia limpia de WordPress, arreglas el problema ya que restauras los archivos limpios y ya no están modificados.
Lo segundo es que al día siguiente te vuelven a modificar los archivos.
Lo anterior es obvio, lo se, pero es la introducción a lo siguiente para que se vea lo que está sucediendo.
En primer lugar, y es importante. En el momento es que comenzó a pasar todo, ¿Tenias plugins, WordPress o el theme sin actualizar? Esto nos indicará si tienes en la instalación existente o no, aparte de otros posibles que ya llegaré a ellos.
Una de las cosas que puede estar sucediendo es que estás «limpiando» WordPress, pero ni los plugins, ni el theme, ni otros directorios de WordPress.
Lo que tienes que hacer es lo siguiente.
En los ordenadores que acceden via FTP al servidor
1.- Pasa un buen antivirus para asegurarte que no tengas ningún troyano.
2.- Si usas FileZilla, actualiza a la última versión para tener las contraseñas encintadas, no en texto plano como las tienen la antigua versión.En ordenadores que tienen acceso a la administración de WordPress
1.- Pasar un buen antivirus por si tienen troyanos que están capturando las contraseñas. Que las contraseñas sean seguras.
En el servidor:
1.- Cambia las contraseñas del FTP. Sobre todo que sean seguras.
En WordPress
1.- Consigue copias limpias del Themes si no las tienes ya.
2.- Consigue copias limpias de todos los plugins que utilices y en sus ultimas versiones.
3.- Descárgate toda el directorio uploads a tu ordenador.
4.- Descárgate la base de datos a tu ordenador.
5.- ve a los usuarios, y mira que no haya ninguno que no debiera estar ahí.
6.- Ve a la base de datos, y mira la tabla {prefijo}_users que no aya ninguno que no debiera estar ahí. Si lo hubiera, apunta el ID de usuario y elimínalo. OJO, PRESUPONGO QUE HAS REALIZADO UNA COPIA DE LA BASE DE DATOS TAL Y COMO TE HE DICHO EN EL PUNTO 4.
7.- En el caso en que hubiera algún usuario que no debía estar en {prefijo}_users ve a la tabla {prefijo}_usersmeta y busca todos los metadatos del ID de los usuarios que has eliminado y eliminados todos.
8.- Copia a tu ordenador el archivo wp-config.php.
9.- Una vez copiado, ábrelo y mira que no haya nada que no debiera estar ahí. Si lo hubiera, bórralo.
10.- Pasa un antivirus por el directorio uploads que te has descargado. Por regla general los antivirus detectan malware, uploaders, etc.
11.- Entra uno a uno en todos los directorios dentro de uploads y mira que no haya nada que no debería estar ahí, como archivos php, exe, ISO, etc. Si hay archivos index.php, ábrelos y mira que no haya nada raro
12.- Borra TODO lo que hay en la web ¿todo? si TODO. Pero ten en cuenta que debes ya haber copiado wp-config.php y el directorio uploads y haberlo comprobado todo tal y como te he dicho en los puntos 9, 10 y 11. OJO, hablo de todo lo relacionado con WordPress. Si tuvieras cosas que no perteneces a WordPress (directorios, otros CMS, etc..) no los borres, pero tendrás que revisarlos también por si están entrando por ahí.
13.- Sube una copia limpia de WordPress.
14.- Sube el directorio uploads ya comprobado y limpio.
15.- Sube todos los plugins que usas en tu sitio
16.- Sube el theme limpio
17.- Sube el archivo wp-config.php (ya comprobado)
18.- Entra en la administración de WordPress y guarda de nuevo los enlaces permanentes para que te cree un .htaccess nuevo.
19.- Que todos los usuarios cambien sus contraseñas, por si han sido capturadas por algún script. Si esto no se puede hacer inmediatamente, cambia tu directamente las contraseñas y pide que recuperen las contraseñas, dejando bien claro que utilicen las contraseñas seguras.Espero que esto te ayude.
Como puedes ver, te pueden estar entrando de varias formas.
1.- Tienen acceso al FTP
2.- Tienen contraseñas de usuarios con permisos
3.- El theme está modificado
4.- Plugins modificados/con vulnerabilidades
5.- Archivos que te hayan subido por vulnerabilidad. Por ejemplo ese archivo scream.phpSaludos
Hola @jose
He entendido perfectamente todos los puntos que indicas por que a diario trato con servidores, archivos, configuraciones, etc, etc.
No conozco a @bosquesfantasias pero imagino que también ya que no ha vuelto a indicar que continuen apareciendo los enlaces.
Ya nos contará.
Saludos.
Hola Paul, sigue con el mismo problema, estamos intentando mitigar el fallo pero siempre reaparece. Reinstalaremos todo el wordpress en una nueva ubicación limpia para ver si puede ser el theme, ya os iré contando. Gracias a los dos.
Gracias!!
Hola @bosquefantasias,
¿Habeis hecho todos los pasos que he explicado? Si los has hecho, me extraña mucho que vuelva a suceder.
Si estais seguros que lo habeis hecho, el problema pùede estar en la base de datos, que os hayan realziado una inyección SQL con código malicioso.
Si ese fuera el caso, debereis rastrear la base de datos, pero son tantas cosas, que ya es más complicado de deciros que es lo que debeis buscar.
Siendo un redireccionamiento aleatorio, puede ser algo bastante complejo.
Hola @bosquefantasias
Comparto un articulo donde podeis sacar ideas sobre como resolverlo. Contiene unas pautas detalladas que os pueden servir.
http://www.administrandowp.com/limpiar-malware-wordpress/
En una parte del articulo hablo de un plugin que ayuda a determinar si los archivos del tema están infectados.
Espero que os sirva. Ya nos contáis.
Saludos.
- El debate ‘Problema de seguridad 4.3.1’ está cerrado a nuevas respuestas.