WordPress infectados

Hola,
Tengo varias webs de WordPress que se infectaron debido a que un usuario instalo un tema en una de las webs que estaba infectado de código malicioso por lo tanto ahora tengo unas 20 webs infectadas de código y he tenido que dejar mi antiguo hosting porque me borraron los archivos (clamav lo detecta y automáticamente elimina)
Busco una solución, busco saber que haríais vosotros en mi caso ahora mismo estoy en un VPS de OVH.

Un saludo.

 

Buenas,

Pues siendo OVH, buscaría un proveedor más decente la verdad.
Si el servidor estuviera bien configurado, que te infecten 1 WP no debería afectar a los otros 19...

Lo suyo sería ver si la DB de los sitios está limpia o infectada. Si está limpia, instalar WP de 0, con archivos limpios, plantilla limpia, etc., e importar la DB antigua.

Si la DB está infectada también, pues hay 2 opciones:

- O vas cosa por cosa desinfectando a mano (algo que te va a costar mucho tiempo no, lo siguiente)
- Arrancas de 0, y siempre puedes ver al menos si los artículos/páginas en la DB están sanas, e importar únicamente eso (aunque todo depende del grado de infección).

En definitiva, lo primero es analizar el grado de infección, en base a eso tomar medidas.

CONSEJOS EXTRA:
- Securiza siempre WP, y evita los plugins de terceros potencialmente peligrosos.
- Securiza el servidor donde corra (esto, si es un compartido, lo debe hacer tu proveedor, pero no por ti, sino por todos los clientes que aloje, a nivel configuración general).

Saludos

 

Hola,

A nivel de seguridad del software del servidor:
http://www.daboblog.com/2011/10/15/...ecomendados-configuraciones-de-apache-y-nmap/

http://www.daboblog.com/2014/02/21/webcast-en-escuelait-con-oreixa-sobre-seguridad-y-wordpress/

Salu2,

 

El problema es que muchos de los usuarios de estos blogs usaron plantillas de desarrolladores dudosos, y me ví obligado a mover las cuentas desde un hosting compartido en banahosting ya que eliminaron los archivos infectados (prácticamente todos los wp--.php) y tenía backups que restauré en un VPS que compré en OVH como medida preventiva. Pero la verdad es que está bastante infectado, y estos usuarios no tienen copia de temas o plugins limpios.

 

Hola,

Sigue este artículo:
http://www.phpninja.info/blog/2011/08/solucion-wordpress-infectado-con-malware/

Y avisa a tus usuarios que no suban plantillas infectadas.

Salu2,

 

Debido a que básicamente lo que se infectan son archivos de texto, siempre es posible remover la infección con solo borrar el código malicioso insertado, lo primero que deberías es suspender las cuentas infectadas, si no lo haces solo estás infectando a incautos que visiten esas webs.

Luego instala clamav y maldet, una vez que tengas la lista de los infectados, podrás intentar repararlos/restaurarlos

Estás seguro que tu proveedor borró la info? esto en muchas partes no solo no es ético sino ilegal, el procedimiento correcto es ponerlos en cuarentena o quitarle permisos de ejecución y lectura y escritura pública, pero nunca borrar data que pertenece a clientes, eso un NO, NO

 

Datacenter1 si un sitio está infectado y ataca/infecta a otros según las cláusulas de protección de casi todos los proveedores pueden borrarlo sin ningún problema.

Es más hay muchos proveedores que si de tu servidor sale un ataque, te lo desenchufan, te echan y hay se acabó la cosa....

 

No he dicho que el provedor no deba o pueda tomar medidas, el proveedor debe asegurarse que la infección no afecta a otros, esto se logra más eficientemente con colocar los archivos en cuarenta, suspender la cuenta o cambiar permisos, lo que no me parece correcto es borrado y luego ni siquiera ofrecer un respaldo al cliente, en la gran mayoría de los casos el clientes víctima inocente, si no vas a resolverle el problema, por lo menos ten la consideración de respaldar los archivos que estás eliminando no?

 

Suscribo a @Datacenter1 y @f.villalba con las recomendaciones de daboblog y clamav y maldet, nosotros lo utilizamos y es una herramienta fantástica para prevenir infecciones, encontrar inyecciones de código y archivos subidos de forma ilícita. La mayoría de veces estos problemas vienen de tener el CMS desactualizado, así como los plugins y componentes.

Utiliza clamav y maldet para encontrar los archivos infectados en los dominios, y configura las directivas que recomiendan en daboblog y las incidencias de este estilo disminuirán considerablemente. Así mismo recomienda a tus clientes la actualización del CMS y los plugins, si se es proactivo en este aspecto los clientes lo valoran.

 

Muchas Gracias a todos por la ayuda, el hosting con el que estaban alojadas las webs es banahosting es el cual borró la información sin notificarme ya que no lo hicieron, simplemente un día al cargar la web me aparece un 403 como que no hay index y revisando me encuentro que no hay archivos y que clamav los ha eliminado en lugar de ponerlos en cuarentena.
Por lo tanto mudo las webs a un VPS no administrado con vestacp en OVH y están funcionando ahí sin problema (ya que yo tenía backups) el problema es que para desinfectarlo es muy complicado ya que está en cada archivo .php de cada una de las webs y me tiraría semanas hacerlo. Voy a probar el articulo de phpninja.info a ver que resulta, he encontrado varias soluciones de hosting que me lo limpian ellos mismos pero la verdad es dudoso porque tiene demasiado trabajo como que para hacerlo gratis y por una cuenta de alojamiento compartido.

 

@javiersan, busca hay formas usando los comandos grep, find, sed de automatizar el proceso, solo tienes que saber que buscar, busca alguno de los infectados y verifica el código, el alguna parte verás la inyección de código, luce como algún enlace, una cadena encriptada, etc. si posteas la cadena exacta, te ayudaré a crear comandos que identifiquen y remuevan la infección

 

Leo esto, y me viene siempre la contestación del cliente "si yo no he tocado nada, llevo sin tocar la web un año o más" Tengo otra web en la empresa x y no la han hackeado. Evidentemente el cliente no miente, ni ha tocado la web, ni la ha actualizado, ni ha puesto las actualizaciones ni parches de seguridad ni nada de nada... Después pasa lo que pasa.

Al igual que un coche, los wordpress, joomla,... requieren de un mantenimiento mínimo, si, mínimo pero lo requiere.

 

Me encanta la parte de "Tengo otra web en la empresa x y no la han hackeado", eso es muy fácil que te lo digan, el cliente pocas veces es capaz de ver que es culpa suya..., pero bueno, nos toca lidiar con estas cositas

 

El pan de todos los días. Lo gracioso es que una vez que nos paso algo así con un cliente, mire la otra empresa y hacia unos meses habían hackeado el portal principal del proveedor... casi nada, y luego dice que no le hackean...jajaj xD

 

Nosotros de vez en cuando pasamos un correo para avisar de que deben tener todo al día, aún así aún vemos muchos joomla 1.5... en algún servidor, un desastre .

 

Es como los tutoriales o videotutoriales que nadie los ve...
Después el problema es el proveedor...

 

Exacto

 

Hola,

Yo tengo una empresa de hosting y en el contrato pondría clarito realizamos scans en nuestros servidores si en algunos de esos scans encontramos cms desactualizados es motivo de suspesnsión del servicio. Solo se le debolvera la parte no consumida de su dinero. Así habría menos hackeos.

 

Bueno, el tema también está en que si haces actualización de PHP a la última versión casi les obligas a actualizar, avisas con un mes de antelación y el que no lo haga, sencillamente dejará de ver su web, es por un bien común y muchas empresas lo hacen así.

Prefiero perder 10 clientes que no quieren actualizar a perder a todos por poner en peligro al resto.

 

Estimado.

Si tiene un VPS y esta tiene cPanel instalado para la gestión de sus cuentas de Hosting ler recomiendo utilizar cXs el cual es un software para evitar muchos malware ya que trabaja en tiempo real con pureftpd y apache con modsecurity para escanear todo los que se sube y detectar si tiene o no código malicioso, puedes configurarlo para que guarde todos estos archivos en cuarentena y asi los puedas modificar y volver a restaurar. Tiene un costo de $50USD pero es una excelente inversión. Otra herramienta que lo puede ayudar de forma gratuita es LMD (linux malware detected) que cumple una función similar. Espero ayudarlo.