Eliminar Código Malicioso de VPS en Banahosting

  • Autor Autor caeddeka
  • Fecha de inicio Fecha de inicio
caeddeka

caeddeka

Zeta
Verificación en dos pasos activada
Tengo un VPS en Banahosting donde están alojadas mis páginas web, desde el sábado mis webs han estado redireccionando a "cbuniversity.cz." un sitio web que no es de mi propiedad y que Google considera peligroso, ya que descarga un trojano cuando alguien quiere ingresar a la página web.

Los de Banahosting hicieron un limpieza con sus antivirus y solucionaron el problema por unos minutos, lastimosamente para mi, se volvio a infectar todo mi VPS inutilizando todas mis webs otra ves. Me dicen que tengo un archivo, linea de código que genera el problema.

Necesito saber si alguien sabe como detectar ese problema para poder eliminarlo manualmente desde el servidor, mis accesos al wp-admin, tampoco funciona y realmente necesito trabajar con mis dominios o voy a pasar una triste navidad.

Alguien del foro sabe como puedo solucionar mi problema?

Screenshot_2.webp
Screenshot_3.webp

Todos los themes que uso son pagados, pero igual no descarto que alguno de ellos sea el causante de todo esto. Uno de mis amigos tiene los mismos puglins que yo, no tiene mis themes y no tiene ningún problema.
 
Por lo que he visto últimamente por el foro este tipo de malware funciona haciendo una redirección desde tu archivo .htaccess

Ese es el primer archivo que debes modificar. Seguramente desde ahí también te habrán redireccionado el acceso a wp-admin y por eso no puedes entrar.

Una vez corregido eso y con la web operativa de nuevo lo que debes hacer es descargarla completa a tu máquina y revisarla entera. Puedes hacerlo simplemente con Notepad++ buscando en todos los archivos de la web las secuencias que se modificaron en el htaccess. Ahí donde las encuentres los eliminas y listo. Lo mismo si ves código ofuscado.

Yo si quieres te puedo dar una mano con ello. No te garantizo nada pero ya lo he hecho otras veces y al final pude arreglarlo. Si quieres me envías un MP con un acceso FTP y lo reviso.
 
tienes themes nulled? Plugins crackeados? sistemas noa ctualizados? Primero corrige todo eso 🙂 elimina esos themes o plugins y actualiza todo. Pasa el antivirus, cambia usuario y contraseñas de FTP y usuario y contraseña de base de datos de cada instalación wordpress que tengas, coloca los sitios tras cloudflare y listo.
 
piano dijo:
Por lo que he visto últimamente por el foro este tipo de malware funciona haciendo una redirección desde tu archivo .htaccess

Ese es el primer archivo que debes modificar. Seguramente desde ahí también te habrán redireccionado el acceso a wp-admin y por eso no puedes entrar.

Una vez corregido eso y con la web operativa de nuevo lo que debes hacer es descargarla completa a tu máquina y revisarla entera. Puedes hacerlo simplemente con Notepad++ buscando en todos los archivos de la web las secuencias que se modificaron en el htaccess. Ahí donde las encuentres los eliminas y listo. Lo mismo si ves código ofuscado.

Yo si quieres te puedo dar una mano con ello. No te garantizo nada pero ya lo he hecho otras veces y al final pude arreglarlo. Si quieres me envías un MP con un acceso FTP y lo reviso.
Hacer clic para expandir...

Gracias por la indicación compañero, lo malo que mis conocimientos de programación son casi nulos, si puedo entrar a ver, pero no entendería que cosa debería estar buscando ¿Hay algún tipo de código especifico que deba buscar?

- - - Actualizado - - -

IngGeek dijo:
tienes themes nulled? Plugins crackeados? sistemas noa ctualizados? Primero corrige todo eso 🙂 elimina esos themes o plugins y actualiza todo. Pasa el antivirus, cambia usuario y contraseñas de FTP y usuario y contraseña de base de datos de cada instalación wordpress que tengas, coloca los sitios tras cloudflare y listo.
Hacer clic para expandir...

En realidad todos son pagados, salvo los puglin que vienen como recomendación del mismo theme original
 
Habría que hacer una busqueda en tu web para dar con el fallo de resto se seguirá infectando
 
caeddeka dijo:
Gracias por la indicación compañero, lo malo que mis conocimientos de programación son casi nulos, si puedo entrar a ver, pero no entendería que cosa debería estar buscando ¿Hay algún tipo de código especifico que deba buscar?
Hacer clic para expandir...

Lamentablemente no compañero. Cada malware es un mundo y depende del programador que lo ha creado. Lo ideal es que eso te lo revise alguien que sepa un poquito de programación y al menos conozca la estructura básica de WP ( para no borrar lo que no debe).

Si lo quieres hacer tú mismo yo empezaría por revisar el archivo .htaccess, este archivo lo encontrarás en la carpeta root de tu web, y extraería de él la información para empezar a buscar. Si, por ejemplo, en el archivo .htaccess ves que hay una redirección a la web "loquesea.xyz" o a la ip "xx.xx.xx.xx" pues ahí ya tienes un buen dato para empezar a buscar. Te bajas tu sitio a tu máquina y comienzas la búsqueda con ese nombre en todos los archivos. A medida que vayas sacando resultados tú mismo irás viendo otros archivos que pueden estar implicados. Aunque no sepas programar casi siempre resulta llamativo a simple vista. A lo mejor esa redirección te la encuentras en un archivo que se llama "loquesea22.php" y justo en esa misma carpeta ves que también hay otro archivo que llama "loquesea22.js" y que además tiene la misma fecha de creación que el otro archivo, pues solo con eso ya te imaginas por donde van los tiros.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

BigSeoData
  • Pregunta Pregunta
Cómo eliminar código malicioso de Search Console
Respuestas
9
Visitas
415
BigSeoData
BigSeoData
R
Plugin para detectar código malicioso en Wordpress
Respuestas
1
Visitas
238
rjga0103
R
R
Alternativa a Wordfence para buscar código malicioso en WordPress
Respuestas
1
Visitas
289
Carlos Arreola
C
M
Alerta de código malicioso en PopAds
Respuestas
2
Visitas
388
AlesioRosario
A
itxel
Código malicioso en blog del 2015, ayuda por favor
Respuestas
2
Visitas
370
itxel
itxel
Atrás
Arriba