Problema de virus en WordPress al actualizar a 3.8.3

Bruno · 15 Abr 2014

hola, al pedirme que actualice wordpress 3.8.3

me encontré con este código en mi index:

Cuando actualice desapareció, pero parece que estaban redireccionando mis visitas a ese video de youtube de justin bieber, si alguien tiene el mismo virus, que avise tal vez puede ser culpa de hostgator o un plugin no se... slds.

<meta name="generator" content="WordPress 3.8.3" />
	<meta http-equiv="refresh" content="0; url=http://www.youtube.com/watch?v=RFngSCaY5nA"/><script type="text/javascript">
	window._wp_rp_static_base_url = 'https://wprpp.s3.amazonaws.com/static/';
	window._wp_rp_wp_ajax_url = "http://www.misitioweb.com/wp-admin/admin-ajax.php";
	window._wp_rp_plugin_version = '3.4';
	window._wp_rp_post_id = '23';
	window._wp_rp_num_rel_posts = '3';
	</script>

parece que si es un virus infectado en wordpress:

redirect - WordPress blog infected with HTML Refresh meta tag - Stack Overflow
WordPress › Support Â» My WordPress was infected with HTML Refresh tag

bueno no era la actualizacion era este plugin:

http://forobeta.com/plugins-wp/326132-virus-redireccion-wp.html

jlchevrolet · 15 Abr 2014

Revisa tu sitio, eso es una inyeccion

quiza tengas algun malware encriptado, hace unos mese me paso. algo parecido

revisa tu function.phpy busca rutas de archivos .png

en caso que sean, no son imagenes, tienen un encode 64

eldextherxd · 15 Abr 2014

hostgator Oo no creo que la empresa de host se preste para tal cosa.. lo que sucede con tu web es que ha sido atacada.. tienes que probar chekando los archivos.. :/

Bruno · 15 Abr 2014

jlchevrolet dijo:
Revisa tu sitio, eso es una inyeccion

quiza tengas algun malware encriptado, hace unos mese me paso. algo parecido

revisa tu function.phpy busca rutas de archivos .png

en caso que sean, no son imagenes, tienen un encode 64

me recomiendas algunos plugins para analizar eso? me diferon que wordfence... pero en el analisis me dijo que quisieron entrar en mi wp admin :S ya me estan empezando a atacar :/

eldextherxd · 15 Abr 2014

Bruno dijo:
me recomiendas algunos plugins para analizar eso? me diferon que wordfence... pero en el analisis me dijo que quisieron entrar en mi wp admin :S ya me estan empezando a atacar :/

hay un plugin para limitar la cantidad de accesos por tiempo determinado... si el prefijo de tu bd lo modificastes al instalar vas bien..tambien intenta quitando la opcion que wordpress da al logearse (ese que te muestra si la contraseña o el usuario es erroneo)... :encouragement::encouragement:

jlchevrolet · 15 Abr 2014

Bruno dijo:
me recomiendas algunos plugins para analizar eso? me diferon que wordfence... pero en el analisis me dijo que quisieron entrar en mi wp admin :S ya me estan empezando a atacar :/

nop, cuando es un caso de codigo encriptado como el de base64 los plugins o los scaners online quedan inoperantes

Bruno · 15 Abr 2014

jlchevrolet dijo:
nop, cuando es un caso de codigo encriptado como el de base64 los plugins o los scaners online quedan inoperantes

parece que no es eso, pero voy a empezar a asegurar mis wordpress, thanks

---------- Post agregado el 15-abr-2014 hora: 21:10 ----------

eldextherxd dijo:
hay un plugin para limitar la cantidad de accesos por tiempo determinado... si el prefijo de tu bd lo modificastes al instalar vas bien..tambien intenta quitando la opcion que wordpress da al logearse (ese que te muestra si la contraseña o el usuario es erroneo)... :encouragement::encouragement:

como se llama ese plugin? :encouragement:

jlchevrolet · 15 Abr 2014

Bruno dijo:
hola, al pedirme que actualice wordpress 3.8.3

me encontré con este código en mi index:

Cuando actualice desapareció, pero parece que estaban redireccionando mis visitas a ese video de youtube de justin bieber, si alguien tiene el mismo virus, que avise tal vez puede ser culpa de hostgator o un plugin no se... slds.

<meta name="generator" content="WordPress 3.8.3" />
<meta http-equiv="refresh" content="0; url=http://www.youtube.com/watch?v=RFngSCaY5nA"/><script type="text/javascript">
window._wp_rp_static_base_url = 'https://wprpp.s3.amazonaws.com/static/';
window._wp_rp_wp_ajax_url = "http://www.misitioweb.com/wp-admin/admin-ajax.php";
window._wp_rp_plugin_version = '3.4';
window._wp_rp_post_id = '23';
window._wp_rp_num_rel_posts = '3';
</script>

parece que si es un virus infectado en wordpress:

redirect - WordPress blog infected with HTML Refresh meta tag - Stack Overflow
WordPress › Support Â» My WordPress was infected with HTML Refresh tag

un tip que puedo darte es

ingresa a tu web por FTP y fijate la fecha de ultima modificacion de los archivos y carpetas.

eso te ayuda a saber que archivo investigar, revisas el codigo y investigas todo lo que te suene raro.

Bruno · 15 Abr 2014

jlchevrolet dijo:
un tip que puedo darte es

ingresa a tu web por FTP y fijate la fecha de ultima modificacion de los archivos y carpetas.

eso te ayuda a saber que archivo investigar, revisas el codigo y investigas todo lo que te suene raro.

gracias, buen tip, ahora mismo voy a ver :encouragement:

jlchevrolet · 15 Abr 2014

Bruno dijo:
gracias, buen tip, ahora mismo voy a ver :encouragement:

es tedioso, pero eficas

Bruno · 15 Abr 2014

jlchevrolet dijo:
es tedioso, pero eficas

si que es tedioso, carpetas, subcarpetas... ya me aburri xd

crazysebas · 15 Abr 2014

WOW :O menos mal no lo actualicé xD

Cicklow · 15 Abr 2014

crazysebas dijo:
WOW :O menos mal no lo actualicé xD

WP no esta infectado... el fue infectado antes de actualizar WP, no por culpa de la ultima actualización ni nada... es mas los post que coloca como base son de hace 8 dias o mas...

Vicentlaw · 15 Abr 2014

crazysebas dijo:
WOW :O menos mal no lo actualicé xD

Es algo en particular, yo actualice los mios y sin ningun problema.

crazysebas · 15 Abr 2014

cicklow dijo:
WP no esta infectado... el fue infectado antes de actualizar WP, no por culpa de la ultima actualización ni nada... es mas los post que coloca como base son de hace 8 dias o mas...

Vale, primero vi este y luego me di cuenta que había posteado la causa del problema.

Pinwino · 15 Abr 2014

Que raro, yo actualice y no he visto nada raro en mi blog :ambivalence:

Galbatorix · 15 Abr 2014

Bruno dijo:
hola, al pedirme que actualice wordpress 3.8.3

me encontré con este código en mi index:

Cuando actualice desapareció, pero parece que estaban redireccionando mis visitas a ese video de youtube de justin bieber, si alguien tiene el mismo virus, que avise tal vez puede ser culpa de hostgator o un plugin no se... slds.

<meta name="generator" content="WordPress 3.8.3" />
<meta http-equiv="refresh" content="0; url=http://www.youtube.com/watch?v=RFngSCaY5nA"/><script type="text/javascript">
window._wp_rp_static_base_url = 'https://wprpp.s3.amazonaws.com/static/';
window._wp_rp_wp_ajax_url = "http://www.misitioweb.com/wp-admin/admin-ajax.php";
window._wp_rp_plugin_version = '3.4';
window._wp_rp_post_id = '23';
window._wp_rp_num_rel_posts = '3';
</script>

parece que si es un virus infectado en wordpress:

redirect - WordPress blog infected with HTML Refresh meta tag - Stack Overflow
WordPress › Support Â» My WordPress was infected with HTML Refresh tag

bueno no era la actualizacion era este plugin:

http://forobeta.com/plugins-wp/326132-virus-redireccion-wp.html

No es la actualización, porque esa fue liberada el día de hoy. Citas un post en StackOverflow, que ya tiene ocho días y además el autor dice que se dio cuenta 4 o 5 días antes, esto es ... hace 12 días.

También en ese mismo post dicen que es lo que hay que buscar.

Bruno · 16 Abr 2014

Galbatorix dijo:
No es la actualización, porque esa fue liberada el día de hoy. Citas un post en StackOverflow, que ya tiene ocho días y además el autor dice que se dio cuenta 4 o 5 días antes, esto es ... hace 12 días.

También en ese mismo post dicen que es lo que hay que buscar.

ya dije que no es la actualizacion y estoy buscando... :/

websurf · 19 Abr 2014

La mayoría de infecciones de nuestro Wordpress vienen por no tener un buen antivirus en el ordenador.

Me explico:

1- Entramos a esas páginas que avergüenzan nuestro historial de navegación.
2- Se nos cuela un troyano.
3- Los virus encuentran nuestras claves ftp guardadas (muy mal! nunca hay que dejar las claves ftp guardadas en los clientes ftp)
4- Esas claves viajan a robotitos muy malos que entran y nos meten códigos chungos.

Solución:

Observar con Web Master Tools.
Darnos de alta en https://safeweb.norton.com/ y/o otras similares.
Revisar (como te comentaban mas arriba) vía ftp las fechas de modificaciones y lo logs.
Tener siempre actualizado nuestro Wordpress.
Tener un buen antivirus en nuestro ordena o usar Linux.

Sobre todo y mas importante hacer copias de seguridad periódicas!!!! Ya que es mas fácil borrar todo, todo, todo y montar la copia de seguridad limpia!

Saludos

Bruno · 19 Abr 2014

websurf dijo:
La mayoría de infecciones de nuestro Wordpress vienen por no tener un buen antivirus en el ordenador.

Me explico:

1- Entramos a esas páginas que avergüenzan nuestro historial de navegación.
2- Se nos cuela un troyano.
3- Los virus encuentran nuestras claves ftp guardadas (muy mal! nunca hay que dejar las claves ftp guardadas en los clientes ftp)
4- Esas claves viajan a robotitos muy malos que entran y nos meten códigos chungos.

Solución:

Observar con Web Master Tools.
Darnos de alta en https://safeweb.norton.com/ y/o otras similares.
Revisar (como te comentaban mas arriba) vía ftp las fechas de modificaciones y lo logs.
Tener siempre actualizado nuestro Wordpress.
Tener un buen antivirus en nuestro ordena o usar Linux.

Sobre todo y mas importante hacer copias de seguridad periódicas!!!! Ya que es mas fácil borrar todo, todo, todo y montar la copia de seguridad limpia!

Saludos

tienes razon... desde ahora copia cada semana...