Novedades WP del dia: Otro Fake WordPress Plugin y otra infección SPAM!

Limpiamos cientos y miles de sitios web infectados, un montón de las limpiezas puede ser considerado como algo “de rutina”.

En la mayoría de los casos cuando se trata de sitios web infectados, sabemos dónde buscar y qué quitar, por lo general con una mirada rápida, podemos determinar qué está pasando. A pesar de nuestra experiencia y pasión por la limpieza de un sitio web hackeado, siempre hay sorpresas al acecho y esperando por nosotros, casi todos los días.

Algunos de los casos de rutina más interesantes con los que tratamos son a menudo los sitios web con el Spam.

SPAM en la base de datos en todo el bloque de código ó el SPAM se almacena en algún archivo desconocido. También nos ocupamos de los casos en que el SPAM se carga dentro del tema o plantilla, en el encabezado, pie de página, índice, etc.  A veces estas infecciones SPAM son condicionales (por ejemplo, Sólo aparecen una vez por IP), a veces no.

En el caso que estamos escribiendo en este post, hemos sido capaces no sólo de eliminar el malware, sino también de echar un vistazo a lo que está pasando detrás de la cortina.

 El cuadro general

Empezamos a encontrar archivos maliciosos con nombre consumer.php . Los sitios con este malware se inundaron con spam. La eliminación simple de consumer.php hizo que de  error de PHP y que el sitio no se cargara correctamente. Sobre la base de la advertencia de PHP y con un poco de esfuerzo, encontramos varios archivos donde se incluyó el código malicioso:

 PHP File con infección SPAM

se ve benigno, ¿verdad? ¿Estás teniendo dificultades para detectar el código erróneo?

 SPAM Infected Ver archivo con Word Wrap

 

Compruébelo usted mismo de nuevo con el ajuste de línea habilitada

Hasta ahora, se ve como un caso más de antiguo SPAM regular. Sin embargo, todavía queremos asegurarnos de que nada se pierda y que el sitio se limpia correctamente

Detrás de la cortina:

En este caso, nos dimos cuenta de un interesante WordPress plugin llamado Pingatorpin . Como recavamos un poco, encontramos algunos datos interesantes:

  • El plug-in no estaba en el repositorio oficial
  • Todos los encabezados de plugins fueron falsos
  • En la busqueda del plugin en Google se devuelve un número bastante grande de sitios con este “plugin” instalado
  • Los sitios usando el plugin todos tenían archivos similares
  • Todos los sitios con este Plugin aparecieron infectados con SPAM cuando se escanea con Sucuri SiteCheck

 

Resultados Sucuri SiteCheck

Todos los archivos de esta carpeta plugins fueron en realidad malware.

  • config-generator.php -. Crea el archivo config serializar el array
  • executor.php – Responsable de la inyección require_once () en los archivos y el registro de qué archivo está infectado en files.dat
  • remover.php -.. script de limpieza de malware que es bastante interesante
  • consumer.php – La carga útil que obtener el contenido del archivo config.db, procesar el contenido, y el eco en las páginas que quiere infectar.

Más allá de esto, recuerda mantener tu software actualizado, utilizar contraseñas seguras y si no sabes qué hacer …

 

Leave a Reply

Your email address will not be published. Required fields are marked *