Ayuda! Archivos js infectados

Hola amigos de forobeta, muy buenas tardes.
bueno resulta que todos los archivos js que tengo alojados en mi servicio de hosting, se encuentran infectados con el siguiente codigo al inicio del archivo:

y resulta que eso redirecciona mi sitio web a una pagina de publicidad.
queria preguntarles si alguien sabe como eliminar eso de todos los archivos js y como eliminar de raiz el virus.
muchas gracias, agradezco cualquier ayuda, me encuentro estresado por este problema.

:encouragement::encouragement::encouragement::encouragement::encouragement:

Se que suena tonto pero probaste con la funcion de CPANEL de limiar virus, a mi una vuelta me sucedio similar y fue la solucion. Saludos

MediaMaster dijo:

Se que suena tonto pero probaste con la funcion de CPANEL de limiar virus, a mi una vuelta me sucedio similar y fue la solucion. Saludos

Hacer clic para expandir...

no espara nada tonto, pero eso no me detecta ese timpo de injection. :grumpy:

- - - Actualizado - - -

MediaMaster dijo:

Se que suena tonto pero probaste con la funcion de CPANEL de limiar virus, a mi una vuelta me sucedio similar y fue la solucion. Saludos

Hacer clic para expandir...

no espara nada tonto, pero eso no me detecta ese timpo de injection. :grumpy:

La otra que se me ocurre es que armes una funcion scraper que recorra todo tu sitio buscando esa linea y la elimines. SI estas en skype agregame media.master.web

No tienes ninguna copia de seguridad? De todas formas piensa que una vez quitado deberás segurizar el sitio, cambiar todas las claves para asegurarte que no se te vuelva a infectar.

Podrias ser mas especifico, el sitio es un Wordpress? En ese caso el theme es comprado o nulled?


Enviado mediante Tapatalk

aver dijo:

No tienes ninguna copia de seguridad? De todas formas piensa que una vez quitado deberás segurizar el sitio, cambiar todas las claves para asegurarte que no se te vuelva a infectar.

Hacer clic para expandir...

Es que necesito eliminar el script que se ejecuta cada x tiempo y me vuelve a infectar los archivos de todo el host, no de un solo sitio en especifico. 🙁

- - - Actualizado - - -

Gustavote dijo:

Podrias ser mas especifico, el sitio es un Wordpress? En ese caso el theme es comprado o nulled?


Enviado mediante Tapatalk

Hacer clic para expandir...

no es un solo sitio, me afecto todos los sitios, hasta los mios desarrollados desde cero. 🙁

- - - Actualizado - - -

MediaMaster dijo:

La otra que se me ocurre es que armes una funcion scraper que recorra todo tu sitio buscando esa linea y la elimines. SI estas en skype agregame media.master.web

Hacer clic para expandir...

esa idea tuya me parece muy tentadora, pero seria algo que demoraria mucho, ya que este virus no me ha afectado un solo sitio, si no todos, osea todos los archivos js que tengo en el hosting fueron afectados.

El código desobfuscado es algo así:
Es decir lo que hace es escribir esto en tu HTML:
Buscando esa IP en google encontrarás bastante información sobre estos ataques.

Yo lo que haría es con un programa de edicion de código (Por ejemplo VS Code) usar las herramientas de busqueda y reemplazo en archivos para:
1- Buscar el código malicioso en los archivos JS
2- Eliminar el código malicioso (con la función de reemplazar)
3- Buscar el posible archivo que infecta los JS cada X tiempo

Después como medida de precaución lo más aconsejable es que bloquees esa IP y luego también puedes implementar en tu sitio mediante HTML una verificación de la integridad de los JS antes de cargarlos (véase Subresource Integrity - Web security | MDN) que es algo fácil de hacer y que evitará que el archivo js se cargue en caso de estar infectado. Esto no es una solucion definitiva, ya que en caso de estar infectado el archivo las funcionalidades JavaScript de tu web tampoco funcionarán, pero mientras no consigues eliminar la infección definitivamente servirá para que tus usuarios no sean redirigidos a páginas maliciosas y/o de publicidad.