Pregunta sobre Arreglando WordPress de Wordpress:

Archivos .txt en root / w-content. ¿Malicioso?

Un usuario preguntó 👇

Hola amigos,

Acabo de migrar a un nuevo host bajo el ataque de malware ‘Baba Yaga’.

Estoy en el proceso de recrear todos los sitios web desde cero. Utilicé WP All in One Migration para exportar solo las publicaciones, pero tuve cuidado de no exportar temas, plugins o incluso los archivos de WordPress necesarios.

Acabo de navegar por la carpeta / wp-content y encontré lo siguiente. Hay algunos archivos .txt que sospecho.

¿Podría el malware inyectarse de alguna manera en los nuevos hots?

https://imgur.com/a/QJCpDmO

(@anevins)

Donante de WCLDN 2018 Apoyo voluntario

Hace 1 año, 10 meses

Pregúntele a sus proveedores de hosting sobre eso. Puede tener cualquier archivo dentro de su directorio raíz de WordPress, junto a otros archivos de WordPress (en este nivel básico).

(@techmystressaway)

Hace 1 año, 10 meses

¿Viste lo que hay en los archivos txt?

Recientemente vi intentos de piratería para llamar a algunos archivos txt desde pastebin.

Si el host anterior fue violado, el pirata informático puede haber subido los archivos txt o puede haber copiado previamente los archivos de copia de seguridad cargados por el pirata informático en el nuevo host.

Pete

(@drosehill)

Hace 1 año, 10 meses

Sip.

Todos son cables de una sola línea.

P.ej

«Lm11aHlkaWFmb3VuZGF0aW9uLmluZm8 = | OTAwMC5tdWh5ZGlhZm91bmRhdGlvbi5pbmZv»

(@drosehill)

Hace 1 año, 10 meses

No he copiado nada de los directorios / wp-content, por lo que si son maliciosos, el backend es la única explicación posible. Y supongo que si las tablas SQL se copiaron, lo único que tenía que inyectarse a partir de eso

(@drosehill)

Hace 1 año, 10 meses

Pero, de nuevo, no estoy seguro de si son maliciosos. En el intento anterior hubo inyecciones obvias (por ejemplo, cambios en /wp-config.php) que dejaron pocas dudas. Pero de estos no estoy seguro. Tampoco mencionan WordFence.

(@techmystressaway)

Hace 1 año, 10 meses

Estoy seguro de que es malicioso.

Si decodifica base64 “Lm11aHlkaWFmb3VuZGF0aW9uLmluZm8” y “OTAwMC5tdWh5ZGlhZm91bmRhdGlvbi5pbmZv” el texto antes y después de = | por separado son dominios

Los archivos de texto deberían ser inofensivos por derecho propio, pero me imagino llamándolos «algo» como parte del hockey.

Pero sí, cómo llegaron allí, es la gran pregunta si solo copiaste las SS y nada más.

Pete

(@drosehill)

Hace 1 año, 10 meses

Gracias, Pete. Debería haber pensado en intentar decodificarlos.

La opción Todo en Uno que utilicé parece haber introducido bases de datos SQL (agregué plugins y todas las configuraciones ya existían).

Supongo que uno de ellos está inyectando uno de ellos (si no es una tabla de correo, ¿quizás el malware tomó uno de los plugins?)

(@techmystressaway)

Hace 1 año, 10 meses

Lo primero que pensé es que la vulnerabilidad original todavía estaría allí (¿averiguó cómo se violaron por primera vez el sitio?)

Idealmente, desea poder eliminar todos los archivos de su cuenta de alojamiento y eliminar la base de datos.

Descargue y cargue copias nuevas de SS core / theme / plugins e importe

Realmente prefiero NinjaFirewall y el escáner, tiene una curva de aprendizaje, pero los documentos son bastante educativos y los registros del firewall le brindan una buena idea de lo que se está probando, así como la protección de archivos y algunas características excelentes y políticas de firewall gratuitas. versión, obtiene acceso instantáneo a las nuevas reglas de firewall en lugar de esperar 30 DÍAS. (sale de una caja de jabón 🙂

https://wordpress.org/plugins/ninjafirewall/ https://wordpress.org/plugins/ninjascanner/

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *