Mi cuenta fue hackeada por shell scripts, ¿qué hacer?

  • Autor Autor oiramsomel
  • Fecha de inicio Fecha de inicio
oiramsomel

oiramsomel

Iota
Verificado por Whatsapp
He estado montando wordpress en un hosting que alquile en justhost, pero desde que inicié la instalación he tenido problemas así que puse un ticket y me dijeron que mi cuenta había sido hackeada por shell scripts.

Los archivos que estoy usando de wordpress los acabo de descargar del sitio oficial, pero no se si lo que me dicen en el hosting sea cierto porque no conozco mucho de los archivos de WP y no se si los que me mencionan como sospechosos sean o no infecciones. Este es el mensaje que me mandaron. La carpeta pb está ahí porque quise hacer una segunda instalación de prueba con WP 3.1 para ver si el problema era de la versión 3.2.1 con el que inicié el proceso.

HTML: 
As I see, your account was hacked via shell scripts. Please see report

/home/nyascac1/public_html/pb/wp-includes/js/tinymce/plugins/spellchecker/classes/PSpellShell.php: Suspicious(shell_exec):              $data = shell_exec($cmd);
/home/nyascac1/public_html/pb/wp-includes/Text/Diff/Engine/shell.php: Suspicious(shell_exec): ogram via shell_exec to comput
/home/nyascac1/public_html/pb/wp-admin/includes/class-wp-filesystem-ssh2.php: Suspicious(phpinfo):  phpinfo() streams
/home/nyascac1/public_html/wp-includes/js/tinymce/plugins/spellchecker/classes/PSpellShell.php: Suspicious(shell_exec):                 $data = shell_exec($cmd);
/home/nyascac1/public_html/wp-includes/Text/Diff/Engine/shell.php: Suspicious(shell_exec): ogram via shell_exec to comput
/home/nyascac1/public_html/wp-admin/includes/class-wp-filesystem-ssh2.php: Suspicious(phpinfo):  phpinfo() streams

I recommend for you download all your files from your account onto your local computer and scan them by an
antivirus software on malware. Check all computers used by you to manage the website/account using
some latest antivirus software and remove all viruses/trojans/backdoor scripts if something is detected.
Also, you have to make sure that all software, modules and plugins used for your site are secure and fully patched, so that they do not have program holes and bugs. It is strongly recommended to check your files/folders permissions which should be 644 for files and 755 for folders and executable files (scripts).
 
Que problemas tenias antes de que te dijeran que has sido hackeado?

Acabo de revisar mi wordpress y veo que tenemos los mismos archivos y las mismas líneas de código.

Lo que sucede es que ciertos plugins usan una función llamada "shell_exec" que sirve para ejecutar comandos en tu servidor, la misma función es usada en "shells php" por "hackers" para "hackear" sitios. En este caso la función no es usada para malas intenciones, si no para las funciones -normales- que realizan tus plugins.

Creo que debes de hacer caso omiso, pues se nota que pasaron un tipo de "antivirus" que detecta este tipo de funciones en tus archivos .php que suelen ser utilizadas por hackers. Pero en tu caso no es así.
 
Posiblemente el código de el sitio que instalaste tenia códigos maliciosos disfrazados o malwares, a la hora que instalas el script o el cms, se ejecutan los códigos encubiertos automaticamente, dándole acceso remoto a los hackers o robándote información privada.

Codeguard.com te brinda protección contra malwares tal vez te interese probarlo.

Los scripts corruptos por lo regular son aquellos que los descargamos de lugares no oficiales o que son versiones hackeadas de sistemas de paga.

Edito:. veo que lo que te indica el shell_exec es un plug in de chequeo de texto, tu lo instalaste?
 
Última edición:
Ese plugin viene por default en wordpress. El plugin usa la función "shell_exec", la misma función que se usan en los scripts maliciosos, sin embargo este plugin no hace nada malo, es parte de su algoritmo y ya.
 
cank dijo:
Ese plugin viene por default en wordpress. El plugin usa la función "shell_exec", la misma función que se usan en los scripts maliciosos, sin embargo este plugin no hace nada malo, es parte de su algoritmo y ya.
Hacer clic para expandir...

A caray pues yo no lo había notado, entonces es fallo del soporte técnico, no pudieron darle una mejor razón al problema que mencionar ese código.
 
tenía este problema cuando me logueaba sacaba error y no me dejaba entrar al panel.
PHP: 
Warning: Cannot modify header information - headers already sent by (output started at /home/nyascac1/public_html/wp-config.php:1) in /home/nyascac1/public_html/wp-admin/install.php on line 54

Mi duda del virus surgió porque le instalé la versión 3.1 que baje de un sitio no oficial. Pero buscando en internet encontré qu ese error se debe a que se deja un espacio en el cierre de PHP ?> pero yo a pesar de que lo borraba y volvía a subir el archivo no me funcionaba. Ya estaba desesperado como con cinco instalaciones de wordpress me daba siempre lo mismo, así que casi a las 2AM de hoy borre el wp-config.php y eliminé el espacio en blanco usando wordpad y no notepad como lo venía haciendo. Y asunto solucionado...ahora mismo me voy a poner a importar las 167 entradas y espero no me hallan baneado los de google porque el sitio tiene dos días caido.

Gracias por su colaboración.
 
Instala wordpress con 1 click desde el cpanel y asunto arreglado.
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba