Sitio de WordPress pirateado: redirige a otro sitio [closed]

2 minutos de lectura

avatar de usuario
nima

Mi sitio de WordPress ha sido pirateado. Los enlaces en el sitio se han cambiado para llevar a los usuarios al sitio del hacker en storage.piterreceiver.ga. Este sitio, a su vez, redirige a otros sitios que mi navegador marca como peligrosos.

A alguien más le ha pasado esto? ¿Cómo puedo restaurar mi sitio y evitar que vuelva a ocurrir?

  • La solución es buscar en todos sus archivos y eliminar las etiquetas. También debe buscar archivos php que no pertenezcan. No hay una solución rápida.

    – desinfor

    23 de septiembre de 2021 a las 14:57

  • Uno de mis sitios tenía el sitio y la URL de inicio actualizados a almacenamiento.piterreceiver.ga/gonext/?step=1 en la base de datos Todavía no he podido rastrear w = cómo se hizo, así que si encuentras algo, ¡avísame! Gracias

    – Ricardo

    23/09/2021 a las 21:01

  • Siga los pasos que he escrito al final.

    – nima

    25 sep 2021 a las 15:32

  • hay 3 temas de soporte sobre eso (desafortunadamente en alemán: wordpress.org/support/topic/redirect-auf-malware-seiten & wordpress.org/support/topic/gehackt & wordpress.org/support/topic/weiterleitung-redirects), pero usar un servicio de traducción puede ayudar. – incluso hay un archivo zip para una actualización manual, pero algunas personas dudan de que todo esté arreglado y en mi humilde opinión esto debería no probarse en un sistema de producción.

    – DJCrashdummy

    27 sep 2021 a las 10:14

  • @Richard, ¿tienes uno de los complementos en esta lista? twitter.com/riper81/status/1441425259945545737?s=20

    – Willington Vega

    27/09/2021 a las 19:47

También descubrimos el comportamiento en varios de nuestros sitios, el culpable parece ser el complemento DSGVO ofrecido por legalweb.io.

Se informó al desarrollador del complemento y la mejor solución fue limpiar las _opciones del código de malware y deshabilitar el complemento.

  • Gracias boidii pero no instalé este complemento en mi sitio web.

    – nima

    25/09/2021 a las 15:40

  • Parece que hay otros complementos con vulnerabilidades vinculadas al problema de storage.piterreceiver.ga: twitter.com/riper81/status/1441425259945545737?s=20

    – Willington Vega

    27/09/2021 a las 19:46

avatar de usuario
david koenig

Gracias a @Jesmond Darmanin, encontré la solución para solucionarlo. Describió eliminar todas las apariciones de “piterreceiver” en la base de datos. Puedes hacerlo de esta manera:

  1. Conéctate a tu instancia de wordpress con SSH
  2. Ve a tu directorio de wordpress
  3. Ejecutar wp db search --all-tables piterreceiver
  4. Ejecutar wp db query <<< "delete from <table> where <id> = 123456"

Tenga cuidado, este es el método de “palanca”. Simplemente haga eso, cuando esté absolutamente seguro de que el valor devuelto ya no es necesario (que fue el caso en mi instalación

Encontré lo mismo en uno de mis sitios y no pude identificar ningún malware en los archivos, sin embargo, la “URL del sitio” y el “inicio” en la tabla “_options” se modificaron y sospecho que una inyección de SQL fue el culpable aquí. Ninguna de mis herramientas de malware pudo identificar nada en el nivel del sistema de archivos, por lo que parece ser una especie de explotación de día 0, ya que no puedo encontrar nada similar. Me aseguré de que todo esté actualizado y monitorearé más mi sitio, pero un punto de partida sería determinar si hay complementos o temas obsoletos que puedan sufrir una vulnerabilidad y, en caso afirmativo, una tarea más difícil sería identificar cuál. . Estoy revisando mis registros ahora y actualizaré este hilo si encuentro algo.

  • Gracias Malín. Eso es lo mismo conmigo. Actualicé todos los complementos por la mañana, ejecuté complementos de seguridad y administré el firewall del servidor, así que estoy de acuerdo en que es un exploit temprano. El único complemento que no está actualizado, ya que no tiene licencia, es YITH WooCommerce Uploads Premium. ¿Supongo que no tienes ese? ¿Quizás deberíamos comparar una lista de complementos?

    – Ricardo

    24 de septiembre de 2021 a las 6:41

  • Como descubrí, puede suceder con diferentes complementos.

    – nima

    25/09/2021 a las 15:41

  • Hola @nima, he revisado mientras ejecuto más de 100 sitios de WordPress y ninguno experimentó este problema, excepto uno al que hice referencia anteriormente. No parece ser estrictamente una vulnerabilidad de complemento.

    – Malín

    27 de septiembre de 2021 a las 8:13

avatar de usuario
Michael Bruckner

Encontramos este script en el complemento WP DSGVO Tools (GDPR) de legalweb y en las reglas de reescritura de YOAST SEO. Pero no todos los sistemas con estos complementos están dañados.

Las afectadas son principalmente las páginas que se han actualizado en los últimos días.

A copia de seguridad de la base de datos es suficiente. No obstante, conviene determinar cómo se produjo la intervención en la página.

Vimos el mismo comportamiento en nuestros sitios y puedo confirmar que el complemento DSGVO es el culpable. De alguna manera, los códigos de seguimiento de Matomo/Google Analytics se sobrescribieron con la redirección maliciosa.

Acabo de hablar con legalweb y confirmaron que este es el problema subyacente: están trabajando en una actualización pero no querían compartir cómo se realizó el ataque. Deshabilitar el complemento y buscar la URL de redirección en la base de datos resolvió el problema.

  • No tengo ese complemento instalado, ni ningún otro de legalweb, no estoy seguro de que sea el mismo problema. ¿Tienes Woocommerce instalado? Ese es el complemento común que encuentro entre los sitios que he buscado, sin embargo, es un complemento tan común que podría ser solo una coincidencia.

    – Ricardo

    24 de septiembre de 2021 a las 10:12

  • No usamos Woocommerce en nuestros sitios, así que ese no fue el problema para nosotros. Tan pronto como deshabilité el complemento DSGVO, pude acceder a mi sitio. La búsqueda en la base de datos fue una precaución para garantizar que no quede nada allí.

    – phil8900

    24/09/2021 a las 10:24

  • Eso no suena como el mismo problema. ¿Veía el dominio storage.piterreceiver.ga/gonext/?step=1 en todas partes? No estoy seguro de cómo la desactivación de un complemento devolvería el siteurl y el homeurl a su estado original.

    – Ricardo

    24/09/2021 a las 10:32

  • No tengo este complemento y, como descubrí, podría ocurrir con cualquier complemento o plantilla.

    – nima

    25/09/2021 a las 15:34

avatar de usuario
Ralph Rathman

Tuve el mismo problema en mi wp-website.

Ningún archivo (.php et al) se ha visto afectado (como puedo ver hasta ahora), pero encontré en la base de datos (wp)_options código ofuscado en “sp_dsgvo_legal_web_texts”.

Eso apunta al complemento “WP DSGVO TOOLS (GDPR)”.

Como ya no era posible iniciar sesión, eliminé la subcarpeta del complemento shapepress-dsgvo a través de sftp en el servidor en el directorio de complementos.

Luego eliminé manualmente cada registro en la tabla de la base de datos:

ELIMINAR DE wp_options DÓNDE option_name COMO ‘sp_dsgvo%’

(tal vez tenga que cambiar el prefijo de tabla wp_ según sus necesidades)

El directorio oficial de complementos de WordPress ha bloqueado este complemento el 20.09.21, pero eso no afecta su instalación, por lo que debe limpiarlo manualmente.

Tenga en cuenta que debe encontrar alguna otra herramienta GDPR, pero por ahora estamos felices de tener un sitio web, eso está en línea nuevamente.

  • No tengo ese complemento instalado, ni ningún otro de legalweb, no estoy seguro de que sea el mismo problema. ¿Tienes Woocommerce instalado? Ese es el complemento común que encuentro entre los sitios que he buscado, sin embargo, es un complemento tan común que podría ser solo una coincidencia.

    – Ricardo

    24 de septiembre de 2021 a las 10:12

  • No usamos Woocommerce en nuestros sitios, así que ese no fue el problema para nosotros. Tan pronto como deshabilité el complemento DSGVO, pude acceder a mi sitio. La búsqueda en la base de datos fue una precaución para garantizar que no quede nada allí.

    – phil8900

    24/09/2021 a las 10:24

  • Eso no suena como el mismo problema. ¿Veía el dominio storage.piterreceiver.ga/gonext/?step=1 en todas partes? No estoy seguro de cómo la desactivación de un complemento devolvería el siteurl y el homeurl a su estado original.

    – Ricardo

    24/09/2021 a las 10:32

  • No tengo este complemento y, como descubrí, podría ocurrir con cualquier complemento o plantilla.

    – nima

    25/09/2021 a las 15:34

Después de todo, encuentro la mejor solución y, por favor, siga estos pasos:

  1. Rebautizar wp-content carpeta.
  2. Cree un nuevo wp-content ‘no olvide el permiso para esta carpeta.
  3. Instale un complemento de seguridad wp como word fence es recomendable pero puedes instalar lo que quieras.
  4. Escanee todo el sitio web y los directorios con este complemento para Malewares.
  5. Para más seguros puedes buscar en la base de datos con mysqldump -uUSER -pPASSWORD database --extended=FALSE | grep pattern
  6. Cambiar o borrar los registros encontrados del paso 4, (en mi caso el problema estaba en el wp_options mesa y siteurl y home había sido cambiado).
  7. Instale una versión limpia y fresca de su plantilla.
  8. Copie la carpeta de cargas antiguas del antiguo wp-content al nuevo.
  9. Y listo, tu sitio web volverá a estar vivo.

Solo quiero agradecer a @David Koenig y @Ralph Rathmann. Sus respuestas fueron realmente útiles.

y gracias a los demás por sus respuestas y guías.

¿Ha sido útil esta solución?