Virus en WordPress Heur Trojan Script Generic

Comment

Soporte Trojan Troyano Wordpress
Trojan WordPress

Virus en WordPress Heur Trojan Script Generic

Si encontramos que nuestra página de WordPress comienza a tener un consumo excesivo, sufrimos spam en las cuentas de correo vinculadas, ralentización, etc, es muy probable que tengamos una infección.

Una forma eficaz de detectarlo puede ser un proceso tan sencillo como conectarnos por FTP (Ej. FileZilla) a nuestro alojamiento y comenzar una descarga completa de la página, y por supuesto tener nuestro antivirus activo. Si tenemos una infección, rápidamente nos dirá que archivos tienen un código malicioso y cual es.

Los siguientes pasos que vamos a detallar serían para la eliminación de este tipo que es el Heur Trojan Script Generic. Tiene asociadas varias cadenas dentro de la infección que son las que tendremos que reparar para poder eliminar los cambios realizados en nuestro WordPress.

Una de las características de este troyano es la creación masiva de usuarios, por lo que es rápido el identificar si tenemos la infección aparte del método anterior de descarga completa por FTP.

Los pasos que tenemos que seguir se pueden resumir en los siguientes:

  1. Fundamental, sacar una copia de seguridad completa de archivos y de la base de datos.
  2. Cambiar las contraseñas que puedan estar comprometidas, como la de nuestro usuario de administrador de WordPress y si coincidía con otras contraseñas hay que realizar el cambio de todas.
  3. Como nos habrá creado algunos usuarios la infección, hay que eliminar todos los usuarios que no nos coincida con los propios de la página. Otro paso importante es la limpieza del caché.
  4. Revisamos nuestra carpeta de Plugins, eliminamos todos los que no sean correctos.
  5. Buscamos los archivos hello.php y admin.php y los eliminamos. El contenido de admin.php será parecido a esto:  <?php
    // Silence is golden.
    ?>
  6. Buscamos con algún software como TextCrawler el siguiente contenido en los archivos: “flippi_flor” y lo eliminamos.
  7. Parte del código malicioso que añade es el siguiente: function getCookie var b=document.cookie.match(new RegExp(“(?:^|; )…  Para eliminarlo hay que acceder a las primeras líneas del archivo wp-config que estarán por encima del nombre de la base de datos.
  8. Para asegurar que la limpieza está realizada totalmente podemos repetir la descarga de la web por ftp y revisar que el contenido está correcto.

Cuando tengamos la seguridad de que nuestro WordPress está correctamente desinfectado deberíamos de buscar algún plugin para mejorar la seguridad y sobre todo tenerlo actualizado para evitar agujeros de seguridad.

Un saludo y hasta la próxima.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies