Como limpiar virus de mis web?

Resulta que un virus o no se que entro a mi servidor y estuvo enviando email a otros, este el mensaje que me dejo mi hosting

Estimado Joel Andy:

Hemos detectado el envío de una gran cantidad de spam desde su cuenta "fullpel".
Los envíos se estaban realizando a través de un programa malicioso que fue subido a su cuenta a través de una vulnerabilidad en uno de sus programas, plugins, temas o plantillas.

De inmediato escaneamos su cuenta y el antivirus detectó y neutralizó muchos archivos infectados o maliciosos.
Aunque el antivirus haya detectado y neutralizado los archivos infectados que él conoce, es necesario y urgente que cierre la brecha de seguridad y que actualice sus programas y elimine todo programa, plugin, tema o plantilla que no haya adquirido de fuentes 100% confiables.

Por el momento no hemos suspendido su cuenta pero si los envíos continúan nos veremos obligados a hacerlo.
Esperamos su pronta respuesta sobre este asunto.

A continuación le copiamos una lista de archivos infectados neutralizados. Como puede ver, no es la primera vez que su cuenta es infectada:
-------------------------------------------------------------------------------------------
Wed Oct 28 09:15:04 EDT 2015 -- Starting scan account: /home/fullpel...
/home/fullpel/public_html/store.com/rss.php: PHP.Bana.HackUploadTool.rss.php.20151007.A1.UNOFFICIAL FOUND
/home/fullpel/public_html/store.com/rss.php: Removed.
/home/fullpel/public_html/storee.com/wp-rss.php: PHP.Bana.Hacktool.wprss.php.A1.UNOFFICIAL FOUND
/home/fullpel/public_html/store.com/wp-rss.php: Removed.
/home/fullpel/public_html/maxpix.com/wp-rss.php: PHP.Bana.Hacktool.wprss.php.A1.UNOFFICIAL FOUND
/home/fullpel/public_html/maxix.com/wp-rss.php: Removed.
Wed Oct 28 09:19:56 EDT 2015 -- Finished scan account: /home/fullpel...
Wed Feb24 12:01:39 EST 2016 => Infected with extract_cookie_2: /home/fullpel/public_html/hakdragond.com/wp-content/plugins/google-analyticator/google-api-php-client/src/auth/gpl_license.php
Wed Feb24 12:01:39 EST 2016 => /home/fullpel/public_html/habound.com/wp-content/plugins/google-analyticator/google-api-php-client/src/auth/gpl_license.php : Renamed.
Wed Feb24 12:01:39 EST 2016 => Infected with extract_cookie_2: /home/fullpel/public_html/hackund.com/wp-content/plugins/google-analyticator/google-api-php-client/src/service/gpl_license.php
.
.
.
.
.
Fri Mar18 16:49:30 EDT 2016 => Infected with globals2: /home/fullpel/public_html/tienda/wp-content/themes/twentythirteen/inc/ini74.php
Fri Mar18 16:49:30 EDT 2016 => /home/fullpel/public_html/tienda/wp-content/themes/twentythirteen/inc/ini74.php : Renamed.
Fri Mar18 16:51:16 EDT 2016 -- Starting scan of: /home/fullpel ...
Fri Mar18 16:54:51 EDT 2016 => /home/fullpel/public_html/stoe.com/wp-content/themes/twentyfifteen/404.php_fopo: PHP.Bana.HackTool.FOPO.ac062a934f16e2a43f8cb2c33b59a8c5f47370ba.20150511.A1.UNOFFICIAL FOUND
Fri Mar18 16:54:51 EDT 2016 => /home/fullpel/public_html/stoe.com/wp-content/themes/twentyfifteen/404.php_fopo: Removed.


que puedo hacer?

[MENTION=30109]joelandy14[/MENTION] lo que puedes hacer es resubir esos archivos, osea subir los archivos originales o de una copia que tengas.

Dalkiel dijo:

[MENTION=30109]joelandy14[/MENTION] lo que puedes hacer es resubir esos archivos, osea subir los archivos originales o de una copia que tengas.

Hacer clic para expandir...

el problema es que no tengo copia. Una manera que estoy viendo es descargar todo los archivos, analizarlo con antivirus y volver a subirlos pero eso demoraria dias. :ambivalence::ambivalence:

[MENTION=30109]joelandy14[/MENTION] pero la mayoría de archivos son de Wordpress, temas default y plugin que se descargan, tan solo descarga el .zip de Wordpress, el plugin a mención, y resubelos al ftp.

Seguro que la empresa de hosting te lo resuelve, normalmente eso va incluido en el servicio.

Hola [MENTION=30109]joelandy14[/MENTION]

Instala Wordfence y haz un escaneo para tener por donde comenzar.

Acuérdate activar la opción de escanear fuera de Wordpress (si es que no la han puesto de pago aún).

mirari dijo:

Seguro que la empresa de hosting te lo resuelve, normalmente eso va incluido en el servicio.

Hacer clic para expandir...

Que empresa te resuelvo esos errores, las que yo eh conocido lamentablemente te suspenden la cuenta.

Por Ejemplo.. si tienes sitios web en hostgator ellos en una suspenden la cuenta y te inhabilitan las web, solo te dan acceso al cpanel para que uno mismo limpie.

Quiero saber de alguna empresa de hosting que resuelva... A lo mucho te diran que problema tenes y porque se da eso... Imagínate que 100 wordpress sean infiltrados y vulnerados.. :ambivalence::ambivalence:

Un detalle esta en la conexión que tengas con el soporte y ellos te echen la mano. Cosa que suelo hacer... pero no resuelvo al 100% el problema ya que hay web que utilizan incluso módulos que el cliente necesita para que funcione su web pero dejan vulnerable al mismo tiempo. Uno no va a estar arreglando en cada momento

Disculpame pero tenía que decirlo. :welcoming::welcoming:

CrewArty dijo:

Que empresa te resuelvo esos errores, las que yo eh conocido lamentablemente te suspenden la cuenta.

Por Ejemplo.. si tienes sitios web en hostgator ellos en una suspenden la cuenta y te inhabilitan las web, solo te dan acceso al cpanel para que uno mismo limpie.

Quiero saber de alguna empresa de hosting que resuelva... A lo mucho te diran que problema tenes y porque se da eso... Imagínate que 100 wordpress sean infiltrados y vulnerados.. :ambivalence::ambivalence:

Un detalle esta en la conexión que tengas con el soporte y ellos te echen la mano. Cosa que suelo hacer... pero no resuelvo al 100% el problema ya que hay web que utilizan incluso módulos que el cliente necesita para que funcione su web pero dejan vulnerable al mismo tiempo. Uno no va a estar arreglando en cada momento

Disculpame pero tenía que decirlo. :welcoming::welcoming:

Hacer clic para expandir...

Amigo, gracias por su respuesta, mira, lo de la empresa que nombras, es cierto, estuve con ellos y hasta para recuperar la información fue problemático, me retiré y me quedaban unos diez meses vigentes. Antes también había estado con otras empresas de hosting, no digo que todas sean problemáticas, seguro que hay más de una que trabajan con responsabilidad.
Yo ahora estoy con banahosting, no es publicidad es gratitud, cuando tengo un problema, lo resuelven rápido. La semana pasada tuve un problema con uno de mis sitios, cuando tratabas de entrar, bajaba un archivo que no sé que contenía, ellos lo resolvieron en menos de una hora.
Si quieres más detalles, puedes contactarme.

mirari dijo:

Amigo, gracias por su respuesta, mira, lo de la empresa que nombras, es cierto, estuve con ellos y hasta para recuperar la información fue problemático, me retiré y me quedaban unos diez meses vigentes. Antes también había estado con otras empresas de hosting, no digo que todas sean problemáticas, seguro que hay más de una que trabajan con responsabilidad.
Yo ahora estoy con banahosting, no es publicidad es gratitud, cuando tengo un problema, lo resuelven rápido. La semana pasada tuve un problema con uno de mis sitios, cuando tratabas de entrar, bajaba un archivo que no sé que contenía, ellos lo resolvieron en menos de una hora.
Si quieres más detalles, puedes contactarme.

Hacer clic para expandir...

Son problemas diferentes .
ya la mayoria del foro sabe que banahosting tiene un buen soporte si no es que el mejor . usando tu lógica si no sabes subir un theme contactas con soporte ellos te lo sube :fatigue: creo que lo mas que te darían es una guia o algo

agiramx dijo:

Son problemas diferentes .
ya la mayoria del foro sabe que banahosting tiene un buen soporte si no es que el mejor . usando tu lógica si no sabes subir un theme contactas con soporte ellos te lo sube :fatigue: creo que lo mas que te darían es una guia o algo

Hacer clic para expandir...

Algo así, banahosting es una empresa con un soporte mas amplio. :encouragement:

eliminar los archivos y subir los tuyos nuevamente. Pero si lograron entrar puede que entren nuevamente. Tendras que revisar bien tu codigo que no tenga exploits que estan utilizando para subirte esos archivos. Tambien deberias cambiar tu contraseña del panel y ftp por cualquier cosa. Y siempre, dale una scaneada a tu computadora

Me uno a tu pregunta :fatigue: , algo similar me pasa con la diferencia que mis emails no llegan a los correos cuando se registran, yo creo que es el servidor.


Sent from my Nokia Lumia 520 using Tapatalk

Buenos días.

Los proveedores si que limpiamos webs. Esta claro que lo podemos hacer una o dos veces y a la tercera, si el cliente continua con malas prácticas, suspendemos.

Para limpiar un wp los pasos a seguir son:
Backup del directorio uploads
Backup del fichero wp-config.PHP
Borramos todo el contenido del dominio
Subimos un wp recién descargado.
Inspeccionamos que no haya ningún PHP en el directorio uploads, ni suspected, revisamos las imágenes... Si sospechamos de algo lo eliminamos.
Subimos el directorio uploads a su destino
Subimos wp-config.php a su destino
Cambiamos la contraseña, nombre y usuario de MySQL y modificamos wp-config.php
Subimos el theme (descargado desde la web oficial) o intentamos que se use otro theme.
Se reinstalan los plugins desde el sitio oficial, el propio instalador de wp basta.

Todo lo descargado debe de ser de fuentes oficiales.

El 95% de las veces entran por el theme.

Este proceso se repite por cada dominio que tengamos, si infectan un wp en la cuenta infectan los demás.

Medidas a adoptar:
theme o plugin desactivado > se elimina.
Instalación de wp-defender o similar.
Revisión de permisos de ficheros y directorios.
Cambio de contraseña de cuenta y FTP.

Si tienes acceso ssh pues esto se automatiza con un script.

Creo que no me falta nada...

Saludos.

Siempre es bueno saber o conocer estos consejos, por si tuviera que aplicarlos algún día. Gracias a todos por los aportes.