[AYUDA] Virus constante en Wordpress

Estado
No está abierto para más respuestas.
¡Que Menú!

¡Que Menú!

Suspendido
Mensajes
55
Puntuación de reacción
0
Hola,

Me entra un virus constante en mi WP que trata sobre la creación de un archivo que envia cientos de correos y me mete en las blacklist la IP.

Es un servidor dedicado, no se si eso puede ser el problema...

Se me crean archivos de miles de lineas entre las carpetas de plugins (legales) con nombres como help.php ok.php y cosas así...

Me paso el dia pasando un scan, y cuando lo borro, a los 3 dias vuelve a aparecer.
 
Julio Rodríguez

Julio Rodríguez

Diamante
Usuario de Bronce
Mensajes
2,521
Puntuación de reacción
2
Hola,

abre se documento y coge una linea que puedas identificar (>por ejemplo: \x65y\x70\x7an\x69\x70) y pon esto

find /home/nombre/www/ -type f | xargs grep -rl '\x65y\x70\x7an\x69\x70'

para detectar y luego mira en el access log como entran.

si quieres que te haga todo el trabajo yo, puedes contratarme por mensaje privado :p
 
¡Que Menú!

¡Que Menú!

Suspendido
Mensajes
55
Puntuación de reacción
0
soyroman dijo:
¿De donde has sacado tu theme de wordpress?
Click para expandir ...

Pues no lo recuerdo pero era un sitio gratuito, nada de nulled y eso

- - - Actualización- - -

Julio Rodríguez dijo:
Hola,

abre se documento y coge una linea que puedas identificar (>por ejemplo: \x65y\x70\x7an\x69\x70) y pon esto

find /home/nombre/www/ -type f | xargs grep -rl '\x65y\x70\x7an\x69\x70'

para detectar y luego mira en el access log como entran.

si quieres que te haga todo el trabajo yo, puedes contratarme por mensaje privado :p
Click para expandir ...

Voy a probar, si no lo consigo consulto precios contigo :)
 
soyroman

soyroman

Hierro
Mensajes
153
Puntuación de reacción
0
Dices que has borrado los archivos y aparecen de nuevo a los 3 días, pero... ¿has cambiado las claves de acceso por FTP?
 
¡Que Menú!

¡Que Menú!

Suspendido
Mensajes
55
Puntuación de reacción
0
soyroman dijo:
Dices que has borrado los archivos y aparecen de nuevo a los 3 días, pero... ¿has cambiado las claves de acceso por FTP?
Click para expandir ...

Si, y las de admin de wordpress. El archivo es la hostia de grande, tanto q cuando lo quiero abrir se me colapsa el editor de texto y está lleno de variables que generan strings automáticas (imagino q el nombre del que envia el correo)
 
soyroman

soyroman

Hierro
Mensajes
153
Puntuación de reacción
0
Yo metería algún plugin de monitorización a ver si te chiva algo: Wordfence , WP Security Scan, Ultimate Security Check, Exploit Scanner o WP File Monitor.

Sino contrata a Julio Rodriguéz que me parece controla del tema.
 
tiernocorazon

tiernocorazon

Hierro
Mensajes
162
Puntuación de reacción
0
Copy a wordpress e instala de nuevo :D porque ese problema es de nunca parar o si recuerdas que plugins y themes haz instalado :D elimina esos y ahi encontraras la solucción :D
 
mPaz

mPaz

Cobre
Usuario de Bronce
Mensajes
736
Puntuación de reacción
1
Yo creo que tienes un backdoor que desconoces en el server, trata de localizarlo.
 
giocr

giocr

Hierro
Mensajes
333
Puntuación de reacción
0
Usa el plugin TAC para analizar el theme a ver si tienes un code 69 por donde esté entrando y saliendo la data


Enviado desde mi iPhone utilizando Tapatalk
 
Estado
No está abierto para más respuestas.

Comparte esta página

Arriba