Foro de Xeoweb Foro de Posicionamiento y Buscadores
Aprendiendo a Promocionar Páginas Web.
Xeoweb :: Sindicar
 
 FAQFAQ   BuscarBuscar   MiembrosMiembros   Grupos de UsuariosGrupos de Usuarios   RegistrarseRegistrarse 
 PerfilPerfil   Entre para ver sus mensajes privadosEntre para ver sus mensajes privados   LoginLogin 
Virus de wordpress

 
Publicar nuevo tema   Responder al tema    Foros de discusión -> Lenguajes de Programación Web
Ver tema anterior :: Ver tema siguiente  
Autor Mensaje
necochea
Yo uso Google


Registrado: 11 Jun 2006
Mensajes: 1077
Ubicación: argentina
MensajePublicado: Lun Mar 15, 2010 5:46 pm    Asunto: Virus de wordpress Responder citando
No se si solo atacan al Wordpress, valiendose de alguna vulnerábilidad, pero ya me han atacado un par de veces, todas en blog de wordpress, en diferentes servidores.
El virus produce una especie de redireccionamiento a páginas de un supuesto antivirus, que produce una falsa alerta de virus y cuando el desprevenido visitante clikea, se entierra a sí mismo en un problema, muy dificil de quitar después.
Voy a contarles como es, por si a alguien le pasa sepa que hacer.
El atacante (posiblemente un bot) coloca un script en la carpeta uploads, donde wordpress sube las imágenes por defecto, o en sus subcarpetas, el script se llama algo como: 431735.php (el numero varía) y dentro contiene algo como esto:
Código:
<?php $lfxDBRy='###e####v#al#####(#####b####a####s############e#######64####_####d###########e#############c###o#######d######e##(#####\'ZXJyb3JfcmVwb3J0aW5nKDApOwokbWQ1X2Nvb2tpZV9zaGVsb

Entre los símbolos # se oculta la función eval de php y decode, el código es mucho más largo, eso es solo una parte.
Solo me pasó en blogs de wordpress, pero es muy malo para el visitante que al entrar recibe una alerta de virus.
Borrando el archivo en cuestión (431735.php el número puede variar) de la carpeta, se soluciona el problema, aunque serìa interesante saber como llega ahí, ya que de algún modo lo hace, en algunos casos los permisos de las carpetas están en 755, lo que da la idea que puede que alguien lo ejecute en el mismo servidor, cuando este es compartido.
Bueno, solo quería compartir el tema para que los que tengan wordpress revisen, y si alguién sabe algo más para aportar, mejor.
_________________
Ciudad de Necochea
Programas gratis
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor Yahoo Messenger
ping
Me gusta MSN!


Registrado: 01 Jul 2006
Mensajes: 344
Ubicación: Galicia
MensajePublicado: Lun Mar 15, 2010 6:31 pm    Asunto: Responder citando
Veo que todos tus comentarios van sobre el mismo tema.

Vamos abordarlo.

Seguramente tu servidor tiene subido un archivo que infecta los archivos index.php y los más comunes con ese código malicioso.

Aunque quites el código del index, existirá un archivo en una carpeta xxx/yyy/zzz.php que vuelva a poner todo al traste.


Tienes dos soluciones, eliminar todo y volverlo a subir, o buscar el archivo que esta realizando eso. Si tienes el wordpress actualizado no deberías tener problema de que te lo volvieran a poner, pero si ya lo tienes dentro tienes que encontrarlo.

Después, mientras buscas eso, ya que llevara tiempo (si no tienes acceso ssh, si tienes ssh con un grep puedes buscar en todo tu servidor el código que realiza eso. de forma rápida), puedes poner bien el index y archivos principales y ponerle permisos sólo de lectura (alguno de estos virus intentan escribir y no pueden(ai algunos listos que cambian permisos al archivo, pero los menos)

Espero que te sirva de ayuda, puesto que es muy engorroso.
_________________
Chatear
Codigo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
ping
Me gusta MSN!


Registrado: 01 Jul 2006
Mensajes: 344
Ubicación: Galicia
MensajePublicado: Lun Mar 15, 2010 6:43 pm    Asunto: Responder citando
Yo creo por la experiencia de estos virus, si tienes wordpress actualizado y tomaste medidas con las carpetras de permisos 777 con el código de vitar ejecución que el virus ya no entra, ya lo tienes en casa.

Mira de buscarlo como te puse arriba. A ver si tienes suerte, si podemos ayudar aqui estamos.
_________________
Chatear
Codigo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
necochea
Yo uso Google


Registrado: 11 Jun 2006
Mensajes: 1077
Ubicación: argentina
MensajePublicado: Mar Mar 16, 2010 4:29 pm    Asunto: Responder citando
Ya lo eliminé, parece que no tengo problema ahora, el tema sería que no entre de nuevo, no es en un solo servidor, tengo blogs en dos servidores distintos y se infectaron los dos, los permisos de las carpetas están en 755.
Postee la información acá por si a alguién le pasa algo similar, para ver como evitamos estas cosas.
gracias por la ayuda.
_________________
Ciudad de Necochea
Programas gratis
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor Yahoo Messenger
ping
Me gusta MSN!


Registrado: 01 Jul 2006
Mensajes: 344
Ubicación: Galicia
MensajePublicado: Mar Mar 16, 2010 5:17 pm    Asunto: Responder citando
Pues alomejor es algún plugin que tienes con alguna vulnerabilidad, wordpress es muy difundido tu problema tendrían que sufrirlo muchas personas y yo también, puesto que tengo gran cantidad de blogs en wp.

Vigila tus plugins.

Saludos.
_________________
Chatear
Codigo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Mostrar mensajes de anteriores:   
Publicar nuevo tema   Responder al tema    Foros de discusión -> Lenguajes de Programación Web Todas las horas son GMT
Respuesta Rápida y Acciones
 

 

Página 1 de 1

Cambiar a:  
Puede publicar nuevos temas en este foro
No puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro

  


Logo diseñado por iLevante
Powered by phpBB © 2001, 2009 phpBB Group