Hackearon mi tienda online hace redirecciones a otras páginas

Israel · 15 Jul 2020

Te recomiendo que contrates a alguien con experiencia, o si no quieres gastar dale una buena leída a los dos enlaces externos que te pase, pero si te ocupara mucho tiempo.

Miguel2162 dijo:
me han jodido bien jodido

Carlos Frias · 16 Jul 2020

Miguel2162 dijo:
Hola betas, será que algún alma caritativa pudiera darme una ayuda, recientemente una tienda online que tenía fue afectada por algún malware que genera redirecciones , y ya la verdad no sé dónde buscar. No tengo experiencia en el tema , jamás me habían atacado antes.
Estoy como loco

Alguien puede ayudarme o aportar su experiencia
Muchas gracias de antemano

Reinstala el core de la tienda si no tienes respaldos para restaurar la misma a su estado original, luego actualiza el CMS/los plugins y el theme. De paso la versión PHP, verifica el htaccess que no tenga código malicioso y de paso el theme (por igual) pese a estar actualizado verifica los archivos que se hayan modificado recientemente (al menos en la fecha del suceso)

Prueba renombrar los plugins e ir activando los mismos uno por uno hasta dar con el causante, si usas LiteSpeed Cache, tienes que ir de paso borrando el cache mediante carpeta (por igual si usas otros plugins de Cache)

Miguel2162 dijo:
me han jodido bien jodido

Puedes abrir un tema en servicios para mirarlo de forma responsable.

Luchortiz · 16 Jul 2020

Conectate por ftp, y ordena los archivos con modificaciones recientes... Te tendrás que dar el trabajo de revisar 1x1... Ahí encontrarás los archivos"fraudulentos" pero suponiendo q tienes unos cuantos plugins nulled, empieza por eliminar esos, y despues hace lo que te digo...

SvenDev · 16 Jul 2020

Hola, si quieres puedo ayudarte, no te voy a cobrar nada, solo escribeme por mp, saludos.

MATRIX 305 · 16 Jul 2020

naaa al parecer ya lo solucione en realidad era un xss combinado con plugins nulled

SvenDev · 16 Jul 2020

MATRIX 305 dijo:
naaa al parecer ya lo solucione en realidad era un xss combinado con plugins nulled

oh genial, ya lo suponia que era un simple script metido en algun theme o plugin

B3T0 · 16 Jul 2020

MATRIX 305 dijo:
naaa al parecer ya lo solucione en realidad era un xss combinado con plugins nulled

Eso es casi seguro, cuando se usa algo nulled es lo que termina ocurriendo. No importa si es muy necesario el recurso, no hay que descargarlo nulled nunca. Saludos y gracias por ayudar al amigo con su problema, para eso es esta comunidad.

Miguel2162 · 16 Jul 2020

Después de corregido el problema se vuelve a reinfestar toda la web de nuevo

Israel · 16 Jul 2020

Desinstala los plugins, revisa siempre el fuctions.php de tu theme principal, allí debe estar el comando que hace ejecutar esto varias veces.

Miguel2162 dijo:
Después de corregido el problema se vuelve a reinfestar toda la web de nuevo

Luchortiz · 16 Jul 2020

Si te la limpiaron, puede que no se haya limpiado en su totalidad...
O pueden haberte infectado la DB....
Cambiaste tus credenciales y todo supongo posteriormente a la limoieza que te hicieron...
Por último, a que pagina te redirigennlos enlaces?

Miguel2162 · 16 Jul 2020

Luchortiz dijo:
Si te la limpiaron, puede que no se haya limpiado en su totalidad...
O pueden haberte infectado la DB....
Cambiaste tus credenciales y todo supongo posteriormente a la limoieza que te hicieron...
Por último, a que pagina te redirigennlos enlaces?

Hola , redirecciona a páginas de spam , ví varios reportes de esa redireccion en foro de soporte de WordPress y al parecer hay un montón de sitios , desde el 10 de julio infectados , todo indica algún plugin con vulnerabilidad y no nulled como yo pensé , haciendo memoria , el último plugin que coloque fue directo del repositorio de WordPress , mientras estuvo con los nulled nunca dió problema alguno , instale ese plugin de editor de roles y ahí se formó el rollo

Miguel2162 · 16 Jul 2020

Luchortiz dijo:
Si te la limpiaron, puede que no se haya limpiado en su totalidad...
O pueden haberte infectado la DB....
Cambiaste tus credenciales y todo supongo posteriormente a la limoieza que te hicieron...
Por último, a que pagina te redirigennlos enlaces?

Este es de nuevo tipo , se vuelve bien agresivo, y en los hosting compartidos ,causa infección a todas las web , por suerte estoy en VPS

MATRIX 305 · 16 Jul 2020

Miguel2162 dijo:
Hola , redirecciona a páginas de spam , ví varios reportes de esa redireccion en foro de soporte de WordPress y al parecer hay un montón de sitios , desde el 10 de julio infectados , todo indica algún plugin con vulnerabilidad y no nulled como yo pensé , haciendo memoria , el último plugin que coloque fue directo del repositorio de WordPress , mientras estuvo con los nulled nunca dió problema alguno , instale ese plugin de editor de roles y ahí se formó el rollo

amigo ne nada sirve que te ayuden si despues de reparar el problema , restauras una copia de seguridad , volviendo todo a como estaba antes XDD

Miguel2162 · 16 Jul 2020

MATRIX 305 dijo:
amigo ne nada sirve que te ayuden si despues de reparar el problema , restauras una copia de seguridad , volviendo todo a como estaba antes XDD

Es que restaure porque me volvió a atacar de nuevo en la mañana todo estaba ya infectado de nuevo y peor , ni en modo incógnita , todos eran redirecciones

arturouw · 16 Jul 2020

Una vez me ocurrió algo similar cuando uno de mis redactores intentó postear algo desde el celular, al parecer los celulares son ventanas abiertas a malwares, mi proveedor de hosting incluso detectó esto y me hicieron el favor de migrar mis servicios a otro servidor y así todo se solucionó. No se si te sirva.

EricK Bueno · 16 Jul 2020

A mi también me pasó lo mismo, fue por usar un theme null, revisa el header, regularmente insertan scripts en ese espacio.

Miguel2162 · 17 Jul 2020

Logré limpiar mi web después de una larga jornada de trabajo, el virus que me infectó data desde el 6 de julio en adelante , ha infectado según reportes más de 10 mil páginas ,y en los alrededores alojamientos compartidos es letal , porque infecta a la totalidad de las web , inyecta un script que modifica más del 80% de los archivos de la página , el código está encriptado en base64 , por eso es difícil dar con el , además que tiene código ofuscado , si hay alguien interesado en ver el código de el script se lo puedo facilitar , crea unas cuantos agujeros de seguridad extras en el WordPress , yo no soy experto en programación pero por lo que ví , tiene mala espina.
Muchas gracias a todos los que me apoyaron con sus ideas de una u otra forma

Luchortiz · 17 Jul 2020

Excelente noticia! Nos podrías dar ma info... Como se hizo la depuración, por donde infectó?

Miguel2162 · 17 Jul 2020

Luchortiz dijo:
Excelente noticia! Nos podrías dar ma info... Como se hizo la depuración, por donde infectó?

Al parecer es un plugin vulnerable y no estamos hablando de ninguno nulled , sino de uno oficial, con una falla de seguridad enorme . No sé ha determinado cuál es porque es un virus muy nuevo , y hay poca información , pero mete un script en varias partes de la web , está en base64, por eso da un trabajo enorme encontrarlo, y los scaner de malware clásico no lo encuentran , hace llamadas a un dominio externo y deja otro montón de código más , que crea agujeros de seguridad en las web y lo peor , se regenera , si eliminas algo , al otro día ya está. Limpiar el código de forma manual es una tarea titánica , porque infecta más del 80% de los archivos de la web , para poder acabar con el , tuve que borrar wp- content completo de raíz y traer uno de una copia de seguridad sana , reinstalar el núcleo de WordPress para eliminar todo lo que estaba dañado , actualizar todos los plugin si había alguno desactualizado, y el tema de ser posible actualizarlo o instalarlo de nuevo desde 0 , es una tarea pesada , NO RESTAURAR COPIAS DE SEGURIDAD ENTERAS, porque si sobrescribes , se vuelve a regenerar . Hay que eliminar y cambiar por archivos sanos y la base de datos , borrada por completo , y traer una sana

Luchortiz · 17 Jul 2020

Entiendo, me alegro que ya lo hayas subsanado, supuse que debe ser nuevo, ya que si wordfence no hizo nada, es por que no lo tiene en su db...