- Este debate tiene 23 respuestas, 6 mensajes y ha sido actualizado por última vez el hace 2 años, 11 meses por
.
-
Entradas
-
Buenas solicito ayuda porque me han hackeado una web.
Esta mañana me avisan por que habían aparecido unos banner de publicidad sospechosos en la home. https://altosdelenebro.es/Revisando un poco por encima veo que aparecían 3 admin en la web 2 ok y uno de ellos oculto.
Voy a la BBDD y me encuentro este usuario: [email protected]
tirando del hilo llego hasta esto: http://ddecode.com/hexdecoder/?results=f18d18cbd3efda90403b4a4d0bf6111fhe borrado el usuario pero no localizo el código que esta ejecutando estos banner?
A alguno os ha pasado algo similar?
Muchas gracias
Un saludoBuenas noches y feliz martes! Aunque para ti no tiene que ser tan feliz…
Vale lo primero es que le pases un antivirus al ordenador, o al ordenador que te hayas conectado. Para evitar que tengas algún bichito intentándose conectar por FTP.
Qué decir que cambies las contraseñas de todos los usuarios, y crees un admin nuevo, y borres todos los que te han puesto.
Después instala el wordfence, y pásale un scan a ver que te dice.
Por último instala una versión limpia de wordpress, si te ha salado algo con el wordfence relacionado con código malicioso con algún plugin bórralo y vuelve a instalarlo.
Y lo típico, mantén los plugins actualizados y themes. Pon contraseñas duras, y lleva cuidado con donde te metes 😉
Un codazo enorme!Buenas tardes Manu
Pues estaba a punto de decirte que ya había probado todo eso y nada, pero he restaurado por tercera vez una copia de seguridad un poco más antigua, y parece que por fin se han eliminado por banner de los c%j%n%s.
Muchas gracias por la respuesta, me ha servido para confirmar por lo menos que iba bien encaminado.
un saludo!!
@albertuner
Entra en file manager y comprueba esta ruta file manager : wp-content/plugins/monit.php a ver si aparece el archivo monit.php
Yo tuve un problema parecido, ya que la web mostraba pop up de anuncios no autorizados.
Échale un vistazo a este hilo : https://chorri.club/foros/tema/web-infectada-por-malware/
Suerte tioSEO Y PASTA
Gracias @Supra, en mi caso no veo ese archivo he visto algún archivo sospechoso, pero cada vez que borro ese usuario admin, se vuelve a generar:
mordor
$P$BD1jWcdiXnNAjO9aYMXtDCC0Z5fTEd1
mordor
[email protected]me temo que voy a tener que tirar por aquí:
https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/
buf que jaleo 🙁
Gracias por la ayuda
Buenas, cuando restaures la copia, asegúrate de cambiar la contraseña de la base de datos, ya que si el virus tiene acceso a esta accede y se vuelve a instalar. Puedes cargar la copia de seguridad en otra web con otra base de datos y ver si se generan los banners, para ver si esa copia aún lleva bicho.
En estos casos si tienes copias de seguridad, lo mejor es restaurarlas cambiando todos los accesos, seguramente tengas alguna sin bicho.Un saludo!
Hola! los Juakers suelen tener ideas bastante inteligentes! A veces al borrar el virus se replica… lo que hacen es llamar a un archivo que te han subido en alguna ruta y lo usan a modo de CRON: cada X minutos lo ejecutan para que el virus se replique en el caso de que lo hayas borrado.
Lo mejor es que restaures un backup antiguo (que este limpio), si tu hosting tiene Imunify haz un scaneo para ver que es lo que detecta. Actualiza todos tus plugins, cambia la password de la db en el caso de que permita el acceso remoto, y cambia las contraseñas. En el caso de que no tengas plugins de seguridad instálalos, y busca un hosting con Imunify o BitNinja.
Suerte!
ok gracias @david @israel y a todos por los consejos, por si la fiesta no estaba suficientemente animada, acabo de ver que le han metido a la web 70 enlaces os podéis imaginar de que tipo…que desastre…XDDD
Es una web relativamente pequeña así que voy a optar por una solución drástica. Nueva instalación, nueva BBDD y nuevo hosting ya de paso.
Una duda si me exporto un xml y configuro de nuevo todos los pluggins aislare el problema no?
Gracias
Un saludoEn principio no deberías tener más problemas si lo exportas como xml, siempre que no haya por ahí metido un script que se pueda replicar
Para mí como dices, si la web es pequeña, hacerla de cero es lo más fácil muchas veces
Un saludo!
Al exportar la web en XML se está exportando también el HTML de los posts. Lo más probable es que los posts contengan esos enlaces en el HTML así que te los estarás llevando a tu nueva web.
Lo mejor es que busques dónde están esos enlaces y lo soluciones. Puedes utilizar Screaming Frog y analizar todos los enlaces salientes. Desde ahí verás en que páginas te han añadido el código.
Suerte!
vaya tela…. me he instalado Screaming Frog y ahí salen los enlaces pero, no tengo muyclaro cómo averiguar en qué páginas han añadido el código?
De todas formas he pasado la instalación que he hecho en local por Screaming Frog y aquí no hay rastro de esas urls por lo que parece que podría funcionar…
Hola de nuevo! El proceso que he realizado es el siguiente:
1. Escanear la web con Screaming Frog.
2. Dirigirse a la pestaña «External».
3. Marcar todos los links en la pestaña superior.
4. En la pestaña inferior hacer clic en «Inlinks».
5. Clic en Export.
Me he fijado en que todos los enlaces tienen el mismo patrón.. sabiendo esto puedes hacer un Search and Replace en la base de datos y así eliminar todos los enlaces que te han añadido. Una vez hecho eso vuelves a pasar Screaming Frog para así poder comprobar que los hayas eliminado todos.
He creado un Ghostbin con el código completo: https://ghostbin.co/paste/7afw. El proceso que debes seguir es el siguiente:
1. Instalas en tu WordPress el plugin «Better Search Replace».
2. En Herramientas (dentro de tu WordPres) haz clic en «Better Search Replace».
3. Encontrarás un formulario:
* Buscar por: (aquí introduces el código que te he dejado en el ghostbin)
* Sustituir con: (lo dejas vacío para que lo sustituya por nada)
* Seleccionar tablas: (selecciona todas pero seguramente con la de los posts sea suficiente)
* ¿Quieres ejecutar un simulacro?: (de momento déjalo activo para ver si encuentra el código y
lo sustituye. Una vez lo hayas probado desmarca esta opción para que remplace el contenido.)Suerte!!!
ohh mamma había llegado a ver esos inlinks pero esto que me pasas wow!!!
voy a hacer esto que comentas y te digomuchas gracias!!
Vaya pues no esta funcionando me temo…
Better Search Replace me dice: se han encontrado 81 tablas, 0 celdas que necesitan actualizarse y se han hecho 0 cambios.
lo peor es que no consigo deshacerme del usuario admin, he cambiado la password de la BBDD lo elimino y vuelve a crearse…
Gracias por la ayuda pero sigo adelante con la copia en local
- Debes estar registrado para responder a este debate.
