Eliminación de virus en WordPress: Problema con spam y viagras

Don Gato · 17 Sep 2013

Saludos amigos, agradezco que lean esto.

Mi problema es el siguiente, llevo un par de semanas batallando con un código "Spam" infiltrado en mi blog, este ha hecho lo siguiente:

- Los post que comparto en Google+ llevan a una web farmacéutica
- Los anuncios enlaces de AdSense son todos de viagras :ambivalence:
- Publica entradas automáticamente y las envía por suscripción a mis lectores (artículos promocionando viagras también) :fatigue:
- No puedo modificar nada desde el panel de WP, pues al guardar los cambios me redirecciona a un artículo aleatorio supuestamente escrito por mi de... 'viagra', sí, adivinaron.

No tengo idea dónde localizarlo ni cómo eliminarlo, espero encontrar la solución que me estoy volviendo loco, mil gracias de antemano :encouragement:

ACTUALIZACIÓN: Problema solucionado, tuve que reinstalar todo, pues todo estaba infectado. ¡Gracias a todos!

javilo · 17 Sep 2013

Algo de aquí creo que te puede ayudar:
Seguridad Wordpress ? Plugins para Wordpress - Los mejores plugins de seguridad y backup para wordpress

Don Gato · 17 Sep 2013

Seguro que sí, le echaré un vistazo, gracias.

javilo dijo:
Algo de aquí creo que te puede ayudar:
Seguridad Wordpress ? Plugins para Wordpress - Los mejores plugins de seguridad y backup para wordpress

nestornoe · 17 Sep 2013

Hola

Abre el index.php y demas paginas del theme y mira si encuentras un codigo escrito en hexadecimal y octal algo como x056/235/025/z0125...etc, si lo encuentras eliminalo eso es lo que te esta metiendo el spam.

Saludos

---------- Post agregado el 17-sep-2013 hora: 21:44 ----------

Tambien busca si hay algo como encode64 esto tienes que decodificarlo hay muchas paginas que sirven para eso, para ver que hay, por que puede ser que el creador codifico algo y si lo borras dejara de funcionar.

Saludos

Don Gato · 17 Sep 2013

Hola, lamentablemente no encontré códigos en ningún sistema de numeración, incluso cambié el theme para ver si se solucionaba, pero el problema persiste.

nestornoe dijo:
Hola

Abre el index.php y demas paginas del theme y mira si encuentras un codigo escrito en hexadecimal y octal algo como x056/235/025/z0125...etc, si lo encuentras eliminalo eso es lo que te esta metiendo el spam.

Saludos

---------- Post agregado el 17-sep-2013 hora: 21:44 ----------

Tambien busca si hay algo como encode64 esto tienes que decodificarlo hay muchas paginas que sirven para eso, para ver que hay, por que puede ser que el creador codifico algo y si lo borras dejara de funcionar.

Saludos

MoneyMan · 17 Sep 2013

Tienes que revisar todos los archivos .php, busca bien cualquier código que este fuera de lo común y borralo.

nestornoe · 17 Sep 2013

Marcelord dijo:
Hola, lamentablemente no encontré códigos en ningún sistema de numeración, incluso cambié el theme para ver si se solucionaba, pero el problema persiste.

Ya revisaste la base de datos?

en lo de adsense supongo que revisaste el codigo de adsense sea el correcto

revisaste el httcacces?

hay varias formas en la que puede ingresar

1. codigo en el theme

2. base de datos (ver si tienes otro administrador) o algo raro

3. el httcacces

4. algun archivo nuevo en el theme o wordpress puede ser javascript tambien

No se me ocurre otra por el momento

Revisa eso

PD

¿No tendras un backup del theme original? para que lo reinstales

Don Gato · 17 Sep 2013

¿Debo revisar únicamente los archivos que están en la carpeta del theme? de hecho en el footer anteriormente había algo raro, he comparado linea por línea y eso era lo único.

MoneyMan dijo:
Tienes que revisar todos los archivos .php, busca bien cualquier código que este fuera de lo común y borralo.

nestornoe · 17 Sep 2013

Marcelord dijo:
¿Debo revisar únicamente los archivos que están en la carpeta del theme? de hecho en el footer anteriormente había algo raro, he comparado linea por línea y eso era lo único.

¿Que habia en el footer?

Don Gato · 17 Sep 2013

En el archivo .htaccess todo normal, tocará ver la base de datos, es probable que allí esté el problema, gracias!

nestornoe dijo:
Ya revisaste la base de datos?

en lo de adsense supongo que revisaste el codigo de adsense sea el correcto

revisaste el httcacces?

hay varias formas en la que puede ingresar

1. codigo en el theme

2. base de datos (ver si tienes otro administrador) o algo raro

3. el httcacces

4. algun archivo nuevo en el theme o wordpress puede ser javascript tambien

No se me ocurre otra por el momento

Revisa eso

PD

¿No tendras un backup del theme original? para que lo reinstales

tumastervip · 17 Sep 2013

Hola amigo ami me paso algo similar, pero no igual, bueno la cosa fue que el virus se metio dentro de los .js de toda mi web y en algunos archivos php asi que lo que hise fue revisar uno por uno para eliminarlo, si es wordpress solo analiza wp-content los js y php luego sube otro wordpress, pero si tienes mas dominios en tu hosting de seguro que ya se infecto algunos.

Don Gato · 17 Sep 2013

Esto:

Insertar CODE, HTML o PHP:

</script>
<script type="text/javascript" src="Order%20viagra%20online%20uk%20-%20ED%20drugs%20Without%20Prescription._files/jquery.js"></script>
<script type="text/javascript" src="Order%20viagra%20online%20uk%20-%20ED%20drugs%20Without%20Prescription._files/jquery-migrate.js"></script>

También puedes verlo aquí.

nestornoe dijo:
¿Que habia en el footer?

---------- Post agregado el 17-sep-2013 hora: 22:42 ----------

Ya veo amigo, mi caso es parecido, prestaré atención a cómo lo solucionaste, pues según este archivo los .js también están infectados. Gracias!

tumastervip dijo:
Hola amigo ami me paso algo similar, pero no igual, bueno la cosa fue que el virus se metio dentro de los .js de toda mi web y en algunos archivos php asi que lo que hise fue revisar uno por uno para eliminarlo, si es wordpress solo analiza wp-content los js y php luego sube otro wordpress, pero si tienes mas dominios en tu hosting de seguro que ya se infecto algunos.

nestornoe · 17 Sep 2013

Marcelord dijo:

Esto:

Insertar CODE, HTML o PHP:

</script>
<script type="text/javascript" src="Order%20viagra%20online%20uk%20-%20ED%20drugs%20Without%20Prescription._files/jquery.js"></script>
<script type="text/javascript" src="Order%20viagra%20online%20uk%20-%20ED%20drugs%20Without%20Prescription._files/jquery-migrate.js"></script>

También puedes verlo aquí.

Eso estaba redirigiendo a su pagina, revisa todos los archivos, puede ser que este en otros, la cosa es como lo inserto, para mi que tienes otro archivo que es el que lo inyecta, seguro que el httaccess esta bien? mira si no hay otro, en la raiz o en otra parte.

Saludos

tumastervip · 17 Sep 2013

Marcelord dijo:
[/COLOR]Ya veo amigo, mi caso es parecido, prestaré atención a cómo lo solucionaste, pues según este archivo los .js también están infectados. Gracias!

Ves parece que esta infectando los js has como te indique yo lo solucione asi.

nestornoe · 17 Sep 2013

Lo mas sano es que reinstales todo, has una copia de base de datos, mas vale perder media hora en reinstalarlo, lo que no me gusta es de adonde salio la inyeccion, el theme ¿de adonde lo sacaste? tambien puede ser el wordpress

ramonjosegn · 17 Sep 2013

Antes de reinstalar intenta lo siguiente

Instala el plugin Wordfence

Elimina el theme y sube una copia limpia

Escanea con Wordfence y restaura todos los archivos que aparezcan como dañados

Sube el nivel de Wordfence a "estoy esperando un ataque" (durante unos días, mientras Wordfence intenta banear la Ip que te causa problemas)

Don Gato · 17 Sep 2013

Esto contiene el htaccess ¿está todo bien?, el theme es conocido por acá fue liberado.

nestornoe dijo:
Lo mas sano es que reinstales todo, has una copia de base de datos, mas vale perder media hora en reinstalarlo, lo que no me gusta es de adonde salio la inyeccion, el theme ¿de adonde lo sacaste? tambien puede ser el wordpress

---------- Post agregado el 17-sep-2013 hora: 23:05 ----------

Buena idea, intentaré también ello, muchas gracias :encouragement:

ramonjosegn dijo:
Antes de reinstalar intenta lo siguiente

Instala el plugin Wordfence

Elimina el theme y sube una copia limpia

Escanea con Wordfence y restaura todos los archivos que aparezcan como dañados

Sube el nivel de Wordfence a "estoy esperando un ataque" (durante unos días, mientras Wordfence intenta banear la Ip que te causa problemas)

nestornoe · 17 Sep 2013

Marcelord dijo:
Esto contiene el htaccess ¿está todo bien?, el theme es conocido por acá fue liberado.

Al parecer esta bien, ya revisaste que no hubeira otro? puede estar en una carpeta no solo en la raiz

Como sea prueba la otra opcion.

Saludos

ramonjosegn · 17 Sep 2013

Marcelord dijo:
Esto contiene el htaccess ¿está todo bien?, el theme es conocido por acá fue liberado.

---------- Post agregado el 17-sep-2013 hora: 23:05 ----------

Buena idea, intentaré también ello, muchas gracias :encouragement:

Lo mejor es que elimines el htacces si tienes dudas de que pueda estar dañado, luego cambias los links permanentes por defecto y los vuelves a poner como los tenías ahora (un truco que aprendí en Forobeta), eso reconstruye el archivo httaccess a uno sin problemas (no sé porqué tienes tanto código... ¿estás usando algún plugin de aceleración o algo así?)

Don Gato · 17 Sep 2013

Ese truco tiene buena pinta :encouragement: utilizo el plugin WP Super Cache.

ramonjosegn dijo:
Lo mejor es que elimines el htacces si tienes dudas de que pueda estar dañado, luego cambias los links permanentes por defecto y los vuelves a poner como los tenías ahora (un truco que aprendí en Forobeta), eso reconstruye el archivo httaccess a uno sin problemas (no sé porqué tienes tanto código... ¿estás usando algún plugin de aceleración o algo así?)