Verifica si tu blog de WordPress es vulnerable al malware

  • Autor Autor krusty72
  • Fecha de inicio Fecha de inicio
En los blogs WP que actualizo de tarde en tarde, los exporto a HTML. Y así en HTML, no hay webos.
 
Ya estoy testeando mis sitios, espero que no haya problemas, supongo que si sólo cambian algunos archivos se pueden restaurar con Wordfence ...
 
Pues a mí, desafortunadamente, me ha infectado tooooodos los sitios y, como aún no se sabe exactamente cómo infecta, tampoco está muy claro cómo eliminarlo/prevenirlo...A pesar de que en algunos sitios hablan de la vulnerabilidad del plugin revslider, la cuestión es que, en mi caso, ha infectado sitios que NO lo usan...:ambivalence:

En cualquier caso, ¿alguien sabe/tiene más o menos claro cómo "limiparlo"? Lo reconozco: soy una torponcilla y a lo máximo que me he atrevido, es a sustituir los archivos infectados por otros limpios pero, supongo que debería restaurar toda la instalación y, eso ya lo encuentro más complicado, puesto que trabajo en multisite y tengo miedo de perder todo el trabajo (tengo copia de seguridad, pero entenderéis que me refiero a tener que parar la actividad diaria/normal de los blogs hasta recuperarlo todo y en orden, con lo que eso supone)...¿Algún alma caritativa que me oriente?🙄
 
Denarius dijo:
Pues a mí, desafortunadamente, me ha infectado tooooodos los sitios y, como aún no se sabe exactamente cómo infecta, tampoco está muy claro cómo eliminarlo/prevenirlo...A pesar de que en algunos sitios hablan de la vulnerabilidad del plugin revslider, la cuestión es que, en mi caso, ha infectado sitios que NO lo usan...:ambivalence:

En cualquier caso, ¿alguien sabe/tiene más o menos claro cómo "limiparlo"? Lo reconozco: soy una torponcilla y a lo máximo que me he atrevido, es a sustituir los archivos infectados por otros limpios pero, supongo que debería restaurar toda la instalación y, eso ya lo encuentro más complicado, puesto que trabajo en multisite y tengo miedo de perder todo el trabajo (tengo copia de seguridad, pero entenderéis que me refiero a tener que parar la actividad diaria/normal de los blogs hasta recuperarlo todo y en orden, con lo que eso supone)...¿Algún alma caritativa que me oriente?🙄
Hacer clic para expandir...

Como sabes cuales han sido infectados?
 
Drasa dijo:
Como sabes cuales han sido infectados?
Hacer clic para expandir...

yo tambien quiero saber... como se sabe cuales archivos quedaron infectados?? y como lo vas a arreglar del todo? se supone que con actualizar wp ya va a quedar todo en orden o como se arregla? 😕 que trizteza y que amargura
 
Drasa dijo:
Como sabes cuales han sido infectados?
Hacer clic para expandir...

meregistro dijo:
yo tambien quiero saber... como se sabe cuales archivos quedaron infectados?? y como lo vas a arreglar del todo? se supone que con actualizar wp ya va a quedar todo en orden o como se arregla? 😕 que trizteza y que amargura
Hacer clic para expandir...

Yo me enteré principalmente porque algunos de mis lectores me avisaron directamente de que les salía un aviso de sitio malintencionado/pishing al intentar entrar en mi página y, me enviaron la captura de pantalla de lo que les salía, donde se veía claramente que el sitio al que redirigía era "soaksoak.ru". Busqué en Google y, voilà: aparecieron un montón de resultados hablando de ello en las últimas horas. Para ver qué archivos están infectados, los mejor es recurrir a un scanner online como Sucuri SiteCheck - Free Website Malware Scanner y ahí, si está infectado, te dice cuáles son los archivos: casi seguro 100% que serán /wp-includes/template-loader.php y
/wp-includes/js/swfobject.js .
 
Denarius dijo:
Yo me enteré principalmente porque algunos de mis lectores me avisaron directamente de que les salía un aviso de sitio malintencionado/pishing al intentar entrar en mi página .
Hacer clic para expandir...

Para limpiarlo instala Wordfence, le haces un escaneo y restauras todos los archivos que te indique Wordfence.

Instala BRUTEPROTECT, es un sistema de protección en la nube, así que cualquier reporte queda registrado y esas IPs no pueden acceder a la red de blogs protegida (teóricamente).

Elimina por FTP el archivo htaccess, muchas veces infectan este archivo, una vez que lo elimines ingresas a "links permanentes" y le das clic a guardar (para que se genere uno nuevo y limpio)

Pide soporte al hosting y explícales que estás bajo un ataque para que tomen las medidas oportunas.
 
Por lo menos ya han habilidad un sistema de chequeo online...eso ya sirve de ayuda.
 
ramonjosegn dijo:
Para limpiarlo instala Wordfence, le haces un escaneo y restauras todos los archivos que te indique Wordfence.

Instala BRUTEPROTECT, es un sistema de protección en la nube, así que cualquier reporte queda registrado y esas IPs no pueden acceder a la red de blogs protegida (teóricamente).

Elimina por FTP el archivo htaccess, muchas veces infectan este archivo, una vez que lo elimines ingresas a "links permanentes" y le das clic a guardar (para que se genere uno nuevo y limpio)

Pide soporte al hosting y explícales que estás bajo un ataque para que tomen las medidas oportunas.
Hacer clic para expandir...

Gracias [MENTION=250]Ramon[/MENTION]joseg,

La cosa es que el Wordfence lo tengo, he escaneado, limpiado, restaurado los archivos y...a las 2-3 horas, me ha llegado el aviso de que de nuevo estaban infectados los mismos archivos. He entrado por FTP para verificarlo y, efectivamente, los archivos habían sido modificados. También he visto que me ha reportado intentos masivos de acceso (desde Rusia, China, India y Bangladesh) a una página inexistente /hostdata133.php , cuyo archivo no era legítimo y también procedí a borrarlo.

Probaré con el BRUTEPROTECT y el .htaccess (éste sí que se me había pasado regenerarlo:ambivalence🙂 y los del hosting, hoy están desaparecidos en combate, porque sí que les escribí para eso mismo y, no sé nada de ellos. Volveré a intentarlo.:encouragement:
 
Denarius dijo:
Gracias [MENTION=250]Ramon[/MENTION]joseg,

La cosa es que el Wordfence lo tengo, he escaneado, limpiado, restaurado los archivos y...a las 2-3 horas, me ha llegado el aviso de que de nuevo estaban infectados los mismos archivos. He entrado por FTP para verificarlo y, efectivamente, los archivos habían sido modificados. También he visto que me ha reportado intentos masivos de acceso (desde Rusia, China, India y Bangladesh) a una página inexistente /hostdata133.php , cuyo archivo no era legítimo y también procedí a borrarlo.

Probaré con el BRUTEPROTECT y el .htaccess (éste sí que se me había pasado regenerarlo:ambivalence🙂 y los del hosting, hoy están desaparecidos en combate, porque sí que les escribí para eso mismo y, no sé nada de ellos. Volveré a intentarlo.:encouragement:
Hacer clic para expandir...

Pienso que con Bruteprotect no deberías tener problemas, de todas formas les voy a enviar un email para saber si están al tanto de la problemática y si han añadido alguna protección extra en la red, creo que no deberías tener problemas usando Brutprotect y Wordfence al mismo tiempo.

También recuerda poner Wordfence en modo "estoy recibiendo un ataque" ya que el modo por defecto es 2.
 
Última edición:
ramonjosegn dijo:
Pienso que con Bruteprotect no deberías tener problemas, de todas formas les voy a enviar un email para saber si están al tanto de la problemática y si han añadido alguna protección extra en la red, creo que no deberías tener problemas usando Brutprotect y Wordfence al mismo tiempo.

También recuerda poner Wordfence en modo "estoy recibiendo un ataque" ya que el modo por defecto es 2.
Hacer clic para expandir...

¡Gracias! Vamos a ver en qué queda (porque es un soberano incordio...por no decir algo más feo😡).
 
Denarius dijo:
¡Gracias! Vamos a ver en qué queda (porque es un soberano incordio...por no decir algo más feo😡).
Hacer clic para expandir...

Cambia todas las claves también , worpdress, ftp, cpanel... así frené en una ocasión un ataque bobo que me hicieron...

Wordfence me decepcionó bastante la verdad porque me hackearon en varias ocasiones, precisamente por eso buscando una alternativa me encontré con Bruteprotect, además no hay que configurar nada, sólo ingresar la key y listo. Pudes configurar que actualice todo automáticamente o si prefieres manual (eso es algo nuevo que le pusieron que para mí estaba demás pero bueno...)

- - - Actualizado - - -

ramonjosegn dijo:
Cambia todas las claves también , worpdress, ftp, cpanel... así frené en una ocasión un ataque bobo que me hicieron...

Wordfence me decepcionó bastante la verdad porque me hackearon en varias ocasiones, precisamente por eso buscando una alternativa me encontré con Bruteprotect, además no hay que configurar nada, sólo ingresar la key y listo. Pudes configurar que actualice todo automáticamente o si prefieres manual (eso es algo nuevo que le pusieron que para mí estaba demás pero bueno...)
Hacer clic para expandir...

Algunos comentarios dicen que pueden estar haciendo uso de estos archivos para el ingreso

# http://codecanyon.net/item/slider-revolution-responsive-wordpress-plugin/2751380
# http://codecanyon.net/item/showbiz-pro-responsive-teaser-wordpress-plugin/4720988
 
Parece que todo bien por aqui... Revisen si usan plugins que no reciben actualizaciones desde hace mucho (Puede que por alli sea el problema)
 
ramonjosegn dijo:
Cambia todas las claves también , worpdress, ftp, cpanel... así frené en una ocasión un ataque bobo que me hicieron...

Wordfence me decepcionó bastante la verdad porque me hackearon en varias ocasiones, precisamente por eso buscando una alternativa me encontré con Bruteprotect, además no hay que configurar nada, sólo ingresar la key y listo. Pudes configurar que actualice todo automáticamente o si prefieres manual (eso es algo nuevo que le pusieron que para mí estaba demás pero bueno...)

- - - Actualizado - - -



Algunos comentarios dicen que pueden estar haciendo uso de estos archivos para el ingreso

# WordPress - Slider Revolution Responsive WordPress Plugin | CodeCanyon
# WordPress - Showbiz Pro Responsive Teaser WordPress Plugin | CodeCanyon
Hacer clic para expandir...

Rickroma dijo:
Parece que todo bien por aqui... Revisen si usan plugins que no reciben actualizaciones desde hace mucho (Puede que por alli sea el problema)
Hacer clic para expandir...

Lo del slider revolution lo comenté antes: dicen que puede ser por ahí, porque hace un par de meses se encontraron algunas vulnerabilidades pero, tan pronto tuve noticia, actualicé/reemplacé mis ficheros (los desarrolladores de los temas que uso que, a su vez usan ese plugin, dieron el aviso y sacaron actualizaciones/parches) y están actualizados. Y, de cualquier modo, se me infectaron sitios donde NO uso ese plugin (ni yo a nivel individual, ni como parte de ningún tema) con lo que no me queda claro que esa sea la vía de entrada...:s
 
Denarius dijo:
Lo del slider revolution lo comenté antes: dicen que puede ser por ahí, porque hace un par de meses se encontraron algunas vulnerabilidades pero, tan pronto tuve noticia, actualicé/reemplacé mis ficheros (los desarrolladores de los temas que uso que, a su vez usan ese plugin, dieron el aviso y sacaron actualizaciones/parches) y están actualizados. Y, de cualquier modo, se me infectaron sitios donde NO uso ese plugin (ni yo a nivel individual, ni como parte de ningún tema) con lo que no me queda claro que esa sea la vía de entrada...:s
Hacer clic para expandir...

Y dime, que es lo que pasa? Entrando directamente a tu sitio redirecciona o solo si entran desde una busqueda en google?
 
Por cierto, acabo de pasarme como 20 minutos hablando con el soporte del hosting y, básicamente me han dicho que de momento, no hay solución, más que intentar tener todo actualizado (respuesta de manual), porque tampoco tienen muy claro aún cómo se está extendiendo (a mí me ha afectado varios archivos, no sólo los 2 que puse antes). Me he encontrado con que estaban intentando acceder desde varios sitios (de nuevo Rusia, China, India y Bangladesh) a la vez a un archivo denominado /wp-includes/pomo/hostdata133.php (que estaba en mi carpeta pero que no debería estar ahí) y a otro llamado /wp-content/plugins/wp-symposium/css/uploadify.css cuando, no tengo ninguna carpeta ni plugin que coincida con wp-symposium...Es muy raro.:ambivalence:

- - - Actualizado - - -

En mi caso, por ejemplo, la gente que me lo ha reportado, venía desde enlaces directos de mi Facebook a mi blogs. También, por lo que he leído, no todos los navegadores lo muestran, peroen su mayoría aparece (es visible) a través de Chrome.
 
Última edición:
No me sorprendería que los Sitios que se han visto afectados no utilicen la última versión de 'Revolution Slider'. Hace meses enviaron emails 'masivos' para alertar a los usuarios sobre un problema similar e incitando a deshabilitar el Plugin o actualizarlo.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Mega
Plugins de WordPress con vulnerabilidades notificadas recientemente
Respuestas
2
Visitas
228
venezuelagod
venezuelagod
Mega
Plugins de WordPress con vulnerabilidades notificadas recientemente
Respuestas
3
Visitas
324
venezuelagod
venezuelagod
ramonjosegn
Descubre si tu servidor es vulnerable con - zerocopter
Respuestas
12
Visitas
658
ramonjosegn
ramonjosegn
Balondero
Tutorial: Cómo saber si tu sitio web es vulnerable a técnicas de hackeo usando Google
Respuestas
11
Visitas
9K
salmoncillo
S
Atrás
Arriba