Problema malware (script de criptomonedas)

  • Angel Aparicio

    (@angel_aparicio_gomez)


    hace 4 meses, 2 semanas

    Hola, estoy intentando limpiar una web que parece tener un malware de minería de criptomonedas. Me avisaron del hosting y en efecto, la web hace llamadas a la dirección binance.org.

    Mirando el código HTML, veo que se está cargando un fichero crypto.js y hay un javascript en el head que parece hacer minería de bitcoins o similar

    He intentado hacer lo siguiente para detectar el origen del problema:
    – Con Duplicator, he sacado una copia de la web y la he descargado en local (el script sigue ahí, así que no es problema del hosting)
    – He desactivado todos los plugins y activado el tema por defecto. Sigue saliendo el script.

    Una búsqueda de ficheros modificados o que no deberían estar (con Wordfence) no me da ninguna información nueva.

    No se donde más puedo mirar que pudiera estar inyectando este código en el head.

    ¿Alguna pista? Gracias.

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • Raúl González

    (@ragose)

    hace 4 meses, 2 semanas

    Lo mejor que puedees hacer es reinstalar WordPress, temas y plugins, y pasarle este plugin -> https://wordpress.org/plugins/gotmls/

    Esto solenta la mayoría de problemas.

    Si no sabes o necesitas más ayuda, dame el toque -> PROHIBIDO AUTO PUBLICITARSE

    • Esta respuesta fue modificada hace 3 meses, 3 semanas por kallookoo. Razón: Se auto publicita
    Iniciador del debate Angel Aparicio

    (@angel_aparicio_gomez)

    hace 4 meses, 1 semana

    Hola Raul, gracias, lo tendré en cuenta. Entiendo que tendría que exportar el contenido e importarlo de nuevo.

    De momento, y como «parche», he estado investigando y veo que es un código que se inyecta desde el wp_head. El id es siempre el mismo, por lo que añadiendo al theme este código antes del wp_head() se elimina el código malicioso

    unset( $GLOBALS['wp_filter']['wp_head']->callbacks[-91498325734] );

    Es un parche, pero bueno, me vale para buscar una solución más permanente con más tranquilidad.

    Supongo que tiene que ser algo que se carga de forma automática, tendré que revisar el wp_options

    Moderador almendron

    (@almendron)

    hace 4 meses, 1 semana

    Te aconsejo que sigas esta guía: https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • Debes estar registrado para responder a este debate.