El malware SoakSoak infecta decenas de miles de WordPress

18-10-2015 / , ,

wordpress infectado soaksoak

Hace horas que se está reportando que hay decenas de miles de sitios WordPress comprometidos por infección del malware conocido como SoakSoak.

Muchos usuarios se están enterando cuando los sistemas de detección de Google no dejan acceder a sus sitios, pero es un aviso para todos.

Lo que sucede es que el atacante accede al fichero wp-includes/template-loader.php e incluye lo siguiente:

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Esto provoca que se añada lo siguiente al archivo wp-includes/js/swobject.js:

Este malware, al descodificarse, carga un malware en javascript desde el dominio SoakSoak.ru, en concreto este archivo: hXXp://soaksoak.ru/xteas/code

Si ya estás infectado la solución de urgencia es sustituir los archivos comprometidos por unos limpios descargados desde WordPress.org, para a continuación cargar una versión completa limpia tanto de WordPress como de plugins y temas.

Una vez hecho esto, ahora sí, instala algún plugin de seguridad como WordFence o el que más te guste, pero que tenga firewall integrado y detección temprana de archivos modificados.

Si quieres comprobar si estás infectado prueba en este comprobador de seguridad online gratuito.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(12 votos, promedio: 4.8)
Compartir en PocketCompartir en LinkedInCompartir en WhatsAppCompartir en Telegram

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

20 comentarios en “El malware SoakSoak infecta decenas de miles de WordPress”

  1. Carlos Alberto Julián Sánchez.

    Gracias por el artículo-noticia, ya ando analizando mis webs, una si me marcó errores.

    Gracias

    Responder
  2. Alberto Cuervo Mallada

    Yo tengo una duda, si el único error que da es la versión del apache, que es lo que se puede hacer?, supongo que la gente de mi hosting tiene esa versión instalada, se puede solicitar que actualicen o algo?

    Responder
    1. J.R.R SANTACRUZ

      si estas con un hosting compartido difícilmente te actualizaran apache por que es para todos el mismo, ya dependerá de su política de updates

      si usas un vps o dedicado tu administrador de sistemas puede hacerlo

      Responder

  5. Pingback: Wordpress sí, pero no… | FACTOR CLAVE

  8. webempresa

    Hola,

    Nosotros hemos detectado desde ayer muchos ataques a WordPress con el plugin Revolution Slider desactualizado, mediante una vulnerabilidad de Revolution Slider subían un fichero que inyectaba el código que se menciona en el artículo, en los ficheros de WordPress.

    El código hacía que al cargar el template se hiciese una llamada a una url externa de la red de SoakSoak que intentaba descargar un malware en el equipo del usuario que visitase la web.

    También hemos visto intentos de infectar xmlrpc.php además de swobject.js

    y template-loader.php.

    Si tenéis Revolution Slider instalado si no se actualiza volverán a infectaros aunque limpiéis los ficheros.

    Nosotros hemos añadido a nuestros sistemas antimalware las cadenas y md5 de ficheros infectados para evitar la infección y hemos creado regla de seguridad en modsecurity para bloquear desde apache cualquier petición POST al plugin revslider mientras los clientes se actualizan.

    Saludos
    Lucas

    Responder

  9. Pingback: Miles de sitios Wordpress han sido atacados e infectados con el malware SoakSoak | GeeksRoom

  10. Pingback: Miles de sitios WordPress han sido atacados e infectados con el malware SoakSoak | Donald Rodriguez

  11. Pingback: SoakSoak: malware ruso SoakSoak infecta a miles de sitios WordPress | Bajalo.com – Tecnología – Gadgets – Culto Geek

  14. TecnologyUruguay

    El gran problema es que muchos usan plantillas piratas y no saben que vienen con codigo ofuscado con lineas de base64 y eval ademas de que tambien le ponen codigo ofuscado a las imagenes, codigos php maliciosos etc…

    Responder

  16. Pingback: Una crisis de seguridad en wordpress

  17. Pablo

    hice el control y me salieron errores, seguí todos los pasos, pero ese sitio me sigue dando los mismos errores despues de un par de días, no se hasta que punto es confiable el sitio o si realmente persisten los problemas wordfence dice que todo esta en orden. No se que pensar.

    Responder

  18. Pingback: Lo mejor de WordPress en 2014 | Ayuda WordPress

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información base sobre privacidad:

    
 	
  • Responsable: Fernando Tellado ([email protected])
    • 
 	
  • Fin del tratamiento: Moderación de comentarios para evitar spam
    • 
 	
  • Legitimación: Tu consentimiento
    • 
 	
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
    • 
 	
  • Derechos: Acceso, rectificación, portabilidad, olvido
    •

 

Ir arriba Ir al contenido