Malware en tienda online causa redirecciones no deseadas

  • Autor Autor Miguel2162
  • Fecha de inicio Fecha de inicio
Te recomiendo que contrates a alguien con experiencia, o si no quieres gastar dale una buena leída a los dos enlaces externos que te pase, pero si te ocupara mucho tiempo.

Miguel2162 dijo:
me han jodido bien jodido
Hacer clic para expandir...
 

Reinstala el core de la tienda si no tienes respaldos para restaurar la misma a su estado original, luego actualiza el CMS/los plugins y el theme. De paso la versión PHP, verifica el htaccess que no tenga código malicioso y de paso el theme (por igual) pese a estar actualizado verifica los archivos que se hayan modificado recientemente (al menos en la fecha del suceso)

Prueba renombrar los plugins e ir activando los mismos uno por uno hasta dar con el causante, si usas LiteSpeed Cache, tienes que ir de paso borrando el cache mediante carpeta (por igual si usas otros plugins de Cache)

Miguel2162 dijo:
me han jodido bien jodido
Hacer clic para expandir...

Puedes abrir un tema en servicios para mirarlo de forma responsable.
 
Conectate por ftp, y ordena los archivos con modificaciones recientes... Te tendrás que dar el trabajo de revisar 1x1... Ahí encontrarás los archivos"fraudulentos" pero suponiendo q tienes unos cuantos plugins nulled, empieza por eliminar esos, y despues hace lo que te digo...
 
Hola, si quieres puedo ayudarte, no te voy a cobrar nada, solo escribeme por mp, saludos.
 
naaa al parecer ya lo solucione en realidad era un xss combinado con plugins nulled
 
MATRIX 305 dijo:
naaa al parecer ya lo solucione en realidad era un xss combinado con plugins nulled
Hacer clic para expandir...
Eso es casi seguro, cuando se usa algo nulled es lo que termina ocurriendo. No importa si es muy necesario el recurso, no hay que descargarlo nulled nunca. Saludos y gracias por ayudar al amigo con su problema, para eso es esta comunidad.
 
Después de corregido el problema se vuelve a reinfestar toda la web de nuevo
 
Desinstala los plugins, revisa siempre el fuctions.php de tu theme principal, allí debe estar el comando que hace ejecutar esto varias veces.

Miguel2162 dijo:
Después de corregido el problema se vuelve a reinfestar toda la web de nuevo
Hacer clic para expandir...
 
Si te la limpiaron, puede que no se haya limpiado en su totalidad...
O pueden haberte infectado la DB....
Cambiaste tus credenciales y todo supongo posteriormente a la limoieza que te hicieron...
Por último, a que pagina te redirigennlos enlaces?
 
Luchortiz dijo:
Si te la limpiaron, puede que no se haya limpiado en su totalidad...
O pueden haberte infectado la DB....
Cambiaste tus credenciales y todo supongo posteriormente a la limoieza que te hicieron...
Por último, a que pagina te redirigennlos enlaces?
Hacer clic para expandir...
Hola , redirecciona a páginas de spam , ví varios reportes de esa redireccion en foro de soporte de WordPress y al parecer hay un montón de sitios , desde el 10 de julio infectados , todo indica algún plugin con vulnerabilidad y no nulled como yo pensé , haciendo memoria , el último plugin que coloque fue directo del repositorio de WordPress , mientras estuvo con los nulled nunca dió problema alguno , instale ese plugin de editor de roles y ahí se formó el rollo
 
Luchortiz dijo:
Si te la limpiaron, puede que no se haya limpiado en su totalidad...
O pueden haberte infectado la DB....
Cambiaste tus credenciales y todo supongo posteriormente a la limoieza que te hicieron...
Por último, a que pagina te redirigennlos enlaces?
Hacer clic para expandir...
Este es de nuevo tipo , se vuelve bien agresivo, y en los hosting compartidos ,causa infección a todas las web , por suerte estoy en VPS 🙁
 
amigo ne nada sirve que te ayuden si despues de reparar el problema , restauras una copia de seguridad , volviendo todo a como estaba antes XDD
 
MATRIX 305 dijo:
amigo ne nada sirve que te ayuden si despues de reparar el problema , restauras una copia de seguridad , volviendo todo a como estaba antes XDD
Hacer clic para expandir...
Es que restaure porque me volvió a atacar de nuevo en la mañana todo estaba ya infectado de nuevo y peor , ni en modo incógnita , todos eran redirecciones
 
Una vez me ocurrió algo similar cuando uno de mis redactores intentó postear algo desde el celular, al parecer los celulares son ventanas abiertas a malwares, mi proveedor de hosting incluso detectó esto y me hicieron el favor de migrar mis servicios a otro servidor y así todo se solucionó. No se si te sirva.
 
A mi también me pasó lo mismo, fue por usar un theme null, revisa el header, regularmente insertan scripts en ese espacio.
 
Logré limpiar mi web después de una larga jornada de trabajo, el virus que me infectó data desde el 6 de julio en adelante , ha infectado según reportes más de 10 mil páginas ,y en los alrededores alojamientos compartidos es letal , porque infecta a la totalidad de las web , inyecta un script que modifica más del 80% de los archivos de la página , el código está encriptado en base64 , por eso es difícil dar con el , además que tiene código ofuscado , si hay alguien interesado en ver el código de el script se lo puedo facilitar , crea unas cuantos agujeros de seguridad extras en el WordPress , yo no soy experto en programación pero por lo que ví , tiene mala espina.
Muchas gracias a todos los que me apoyaron con sus ideas de una u otra forma
 
Excelente noticia! Nos podrías dar ma info... Como se hizo la depuración, por donde infectó?
 
Luchortiz dijo:
Excelente noticia! Nos podrías dar ma info... Como se hizo la depuración, por donde infectó?
Hacer clic para expandir...
Al parecer es un plugin vulnerable y no estamos hablando de ninguno nulled , sino de uno oficial, con una falla de seguridad enorme . No sé ha determinado cuál es porque es un virus muy nuevo , y hay poca información , pero mete un script en varias partes de la web , está en base64, por eso da un trabajo enorme encontrarlo, y los scaner de malware clásico no lo encuentran , hace llamadas a un dominio externo y deja otro montón de código más , que crea agujeros de seguridad en las web y lo peor , se regenera , si eliminas algo , al otro día ya está. Limpiar el código de forma manual es una tarea titánica , porque infecta más del 80% de los archivos de la web , para poder acabar con el , tuve que borrar wp- content completo de raíz y traer uno de una copia de seguridad sana , reinstalar el núcleo de WordPress para eliminar todo lo que estaba dañado , actualizar todos los plugin si había alguno desactualizado, y el tema de ser posible actualizarlo o instalarlo de nuevo desde 0 , es una tarea pesada , NO RESTAURAR COPIAS DE SEGURIDAD ENTERAS, porque si sobrescribes , se vuelve a regenerar . Hay que eliminar y cambiar por archivos sanos y la base de datos , borrada por completo , y traer una sana
 
Entiendo, me alegro que ya lo hayas subsanado, supuse que debe ser nuevo, ya que si wordfence no hizo nada, es por que no lo tiene en su db...
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

¿Cómo evitar redirecciones no deseadas de Appnexus en móviles?
Respuestas
4
Visitas
798
idolquent
I
Menú
Acceder
Registro