Wordpress atacado: historia del problema y solución

  • Autor Autor fabgonber
  • Fecha de inicio Fecha de inicio

fabgonber

Iota
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Hola,

Desde hace un par de días atrás tengo un wordpress atacado (espero poder decir tuve) con procesos que se comían toda la cpu:


Revisando, tenía un proceso que se hacía pasar por w3-total-cache:


Otras pruebas:
Unos include rarisimos en los archivos .php de wordpress:

Unos archivos .ico creados ...
entre otros...

Lamentablemente mi ultimo respaldo era demasiado viejo para los contenidos actuales del sitio y los respaldos del hosting eran posteriores al problema.

Actualización: parece que este fue el ataque https://www.getastra.com/e/malware/infections/favicon-ico-malware-backdoor-in-wordpress-drupal

Mi solución:
1) Actualicé el wordpress atacado a la ultima version
2) Instale (al lado) un wordpress nuevo (vacío), ultima versión también
3) Ambos tenían la misma versión con el mismo lang
4) Eliminé todos los archivos php de la raiz del wordpress atacado
5) Eliminé las carpetas wp-admin wp-includes del wordpress atacado
6) Cargue los archivos que había eliminado copiandolos del wordpress nuevo vacío
7) Modifique wp-config.php para que tenga los datos de la base de datos correcta

Resultado:
1) El sitio funciona
2) Al parecer quedó limpio, puesto que la cpu no se ha disparado
3) Sigo monitorizando
 
Última edición:
Gracias por la clara explicación!
 
Holaa
Pero cuál crees que fue la razón del problema?
 
AyuGonzalo dijo:
Pero cuál crees que fue la razón del problema?
Hacer clic para expandir...
Como el sitio estaba con todo desactualizado: wordpress, plugins, themes, etc... desde el 2015. Asumo que alguien encontró un backdoor y lo infectó.

Aprendizaje: puse un plugin que actualiza todo una vez al dia de forma automática.
 
fabgonber dijo:
Como el sitio estaba con todo desactualizado: wordpress, plugins, themes, etc... desde el 2015. Asumo que alguien encontró un backdoor y lo infectó.

Aprendizaje: puse un plugin que actualiza todo una vez al dia de forma automática.
Hacer clic para expandir...
tambien pasa por los templates y plugin nulled que vienen con backdoors listos para atacar el sitio
 
pedro56 dijo:
Como hiciste para sacar esos datos... ¿Tu servidor de hosting te los proporciono?
Hacer clic para expandir...
No uso hosting, uso vps. Pero para facilitarme las cosas, un servicio de vps administrado www.cloudways.com

Dicho lo anterior: esos datos los obtuve accediendo por SSH.-
 
Por eso te pregunto como lo adquiriste.

¿En la instalación de un plugin?
 
pedro56 dijo:
¿En la instalación de un plugin?
Hacer clic para expandir...
No se como se infecto. No se había instalado nada nuevo y no uso herramientas nulled, prefiero pagar el par de dólares.
 
fabgonber dijo:
No se como se infecto. No se había instalado nada nuevo y no uso herramientas nulled, prefiero pagar el par de dólares.
Hacer clic para expandir...
Que caso raro.

Entonces posiblemente el que hizo esa infección sabe como hacerla de nuevo 😱😱
 
pedro56 dijo:
Entonces posiblemente el que hizo esa infección sabe como hacerla de nuevo 😱😱
Hacer clic para expandir...
Espero que con todo actualizado, la vulnerabilidad este resuelta. Por otro lado... estoy monitorizando y ya llevo horas limpio.
 
Estamos a domingo, la cpu no se ha disparado en estos días:
Al parecer la infección ya pasó...
 
Hay que estar conectado o registrado para responder aquí.
Menú
Acceder
Registro