Pregunta sobre Duplicator - WordPress Migration Plugin de Wordpress:

Archivo malicioso citado por WordFence

Un usuario preguntó 👇

Durante los últimos dos días, he recibido la siguiente advertencia de WordFence con respecto a cuatro sitios web que administro: Nombre de archivo:

Tipo de archivo: no es un archivo central, de tema o de plugin de wordpress.org. Detalles: este archivo parece haber sido instalado o modificado por un pirata informático para realizar actividades maliciosas. Si conoce este archivo, puede ignorarlo para excluirlo de análisis futuros. El texto que encontramos en este archivo coincide con un archivo malicioso conocido:

El tipo de infección es: Vulnerable: PHP / duplicatorinstaller Descripción: Un archivo potencialmente inseguro que genera copias de seguridad duplicadas que permitirán a los actores malintencionados ejecutar código arbitrario.

Los cuatro sitios web se encuentran en tres hosts diferentes: HostMonster, Dreamhost y GoDaddy. ¿Existe alguna vulnerabilidad que permita a los piratas informáticos inyectar código a través del plugin? ¿O es una bandera falsa de WordFence?

Este tema fue modificado hace 2 años, 2 meses por.

(@jdembowski)

Moderador del foro y Bruto Squad

Hace 2 años, 2 meses

Su sitio ha sido pirateado y no vuelva a publicar código malicioso aquí.

Lee bien esto.

https://codex.wordpress.org/FAQ_My_site_was_hacked

(@paaliaq)

Hace 2 años, 2 meses

Tengo lo mismo, y como dijo el OP, ¿qué pasa con esto? ¿Está realmente pirateado? Es «un archivo potencialmente inseguro que genera copias de seguridad de Duplicator que permiten a operadores malintencionados ejecutar código arbitrario».

¿Por qué Duplicator genera copias de seguridad inseguras, según Wordfence? Eso no quiere decir. ¿Existe una vulnerabilidad o es una bandera falsa?

Puede usted explicar esto? Gracias.

Jan, ¿podrías permitir que el autor responda la pregunta? Gracias.

Esta respuesta fue modificada hace 2 años, 2 meses por.

(@corylamleorg)

Hace 2 años, 2 meses

Para ser claros, Duplicator no está creando copias de seguridad inseguras. La notificación es una advertencia válida de que Duplicator instala archivos cuando se dejan en el servidor. Estos archivos deben eliminarse de su servidor. Para obtener más detalles, vaya a este enlace de preguntas frecuentes:

– ¿Qué archivos deben eliminarse después de la instalación? – https://snapcreek.com/duplicator/docs/faqs-tech/#faq-installer-295-q

(@asaracena)

Hace 2 años, 2 meses

Sin embargo, gracias por su mensaje de Corey, en todos estos sitios solo uso Duplicator para las copias de seguridad. No traduje ninguno de estos sitios usando Duplicator, por lo que el archivo install.php nunca se usó, solo se creó con el plugin y se almacenó en la carpeta de instantáneas.

Estos archivos han sido generados por Duplicator o están siendo agregados a la carpeta de instantáneas por un pirata informático, algo diferente a tres hosts diferentes, especialmente porque este es el único archivo que viene con código malicioso.

Por supuesto, eliminé los archivos mencionados por WordFence.

(@corylamleorg)

Hace 2 años, 2 meses

Hola @asaracena,

Duplicator no crea archivos sin hash en el servidor durante la compilación (copia de seguridad) del paquete. Los archivos del instalador solo se descargan en el momento de la instalación desde el archivo. Además, tenga en cuenta que WordFence también escanea fuera de su sitio de WP, por lo que si tiene otros sitios, es posible que haya elegido esos caminos. ¿Cuál es el nombre de los archivos que WordFence ha mencionado como maliciosos?

Gracias

(@asaracena)

Hace 2 años, 2 meses

Gracias Cory por tu respuesta. Los archivos se marcan por WordFence: wp-instantáneas / wp-instantáneas 20151207_alisonsaracena_687380ad026a98789219180425060847_installer.php / wp-instantáneas 20170705_icsia_7eecd6f82bdc24e83262180512093850_installer.php / wp-instantáneas 20170228_100friends_3331fe9447fe4ab62533171117090909_installer.php / wp-instantáneas 20170228_100friends_c0e4758893a1487e3867180508041512_installer.php / 20160828_uddami_a6ad7ee3cdfa3f7c1963180630071144_installer.php

Alison

(@corylamleorg)

Hace 2 años, 2 meses

Esos archivos están mejorados para que no sean un problema por lo que puedo ver. Informaría de esto a WordFence ya que parece ser un escaneo falso.

Espero que eso ayude ~

(@asaracena)

Hace 2 años, 2 meses

Cory: intenté incluir el mensaje completo de WordFence que contenía el código malicioso en mi primer mensaje, pero WP lo eliminó. ¿Hay alguna manera de que pueda conseguirlo sin copiarlo aquí? Podría tomar una foto pero no hay forma de adjuntarla a este mensaje.

(@bobriley)

Hace 2 años, 2 meses

Hola, ¿podrías enviar ese mensaje de texto a [email protected]? Gracias

Beto

(@bobriley)

Hace 2 años, 2 meses

Hola, acabo de hablar con Wordfence. Tendrán versiones del instalador 1.2.40 y anteriores como riesgos de seguridad, y según la marca de tiempo de todos los instaladores en su lista, todos esos instaladores parecen ser más antiguos. Hemos implementado una importante solución de seguridad en 1.2.42, por lo que Wordfence no debería tener ningún instalador 1.2.42 o posterior.

Si ve un indicador del instalador de Wordfence creado con Duplicator 1.2.42 o posterior, avísenos, ya que no se deben marcar.

Beto

(@asaracena)

Hace 2 años, 2 meses

Gracias, Bob. Aprecio que hayas dejado de pensar en este tema.

No llevo un registro de la versión de Duplicator que uso para hacer copias de seguridad, sin embargo, por lo general lo hago mensualmente y guardo 2-3 copias de seguridad para asegurarme de tener una que funcione si la necesito (la mayoría de mis configuraciones no a menudo). Por lo tanto, es posible que los archivos se hayan marcado antes de la 1.2.42.

¿Cuándo se creó Duplicate 1.2.42? Si conozco la fecha, puedo eliminar las copias de seguridad realizadas antes de esa actualización.

Alison

(@bobriley)

Hace 2 años, 2 meses

Hola, Alison, 1.2.42 se lanzó el 24 de agosto de 2018, por lo que cualquier cosa antes de esa fecha se tomaría con una versión anterior.

Beto

(@asaracena)

Hace 2 años, 1 mes

Gracias Bob, tener una cita ayuda mucho. Eliminaré cualquier cosa antes.

Una vez más, su disposición para investigar este problema y averiguar por qué es genial. ¡Gran apoyo!

Alison

(@corylamleorg)

Hace 2 años, 1 mes

Gracias Alison por ayudarnos a proporcionar los datos y solucionar el problema.

Saludos ~

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *