Oky Blog De MatiasM

20jun/130

WordPress 3.3 infectado con Malware entry: MW:HTA:7

wordpress malware Wordpress 3.3 infectado con Malware entry: MW:HTA:7En un servidor que administro, encontre un sitio infectado con este Malware llamado MW:HTA:7.
Tienen mas informacion sobre el mismo aca: http://labs.sucuri.net/db/malware/malware-entry-mwhta7
Para descubrir el problema utilice el scanner de sitios
http://sitecheck.sucuri.net/scanner/
Este scanner analiza la url que ingresemos y nos brinda informacion detallada en sus resultados.

Sitecheck Results
Website details
Blacklisting status

Sucuri
web site:
status:     Verified Clean
web trust:           Not Blacklisted
warn:     WordPress version outdated: Upgrade required.
*This site was just scanned a few minutes ago.

Security report (Warnings found):
check        Blacklisted:       No
error        Outdated software:       Yes
check    Malware:     No
check    Malicious javascript:       No
check    Malicious iFrames:     No
check    Drive-By Downloads:       No
check        Anomaly detection:       No
check        IE-only attacks:         No
check    Suspicious redirections:         No
check    Spam:    No

El sitio estaba funcionando con wordpress 3.3 y al ser una version vieja, se aprovecho un bug para modificar el archivo .htaccess del sitio, agregando esta informacion el mismo.

RewriteRule ^(.*)/(.*)&usg=(.*)$ /$1? [R=301,L]
RewriteRule ^(.*)/\xE2\x80\x8E/(.*)$ /$1/$2? [R=301,L]
RewriteRule ^index.php\x3Fs\x3D(.*)$ /?s=$1 [R=301,L]
RewriteRule ^(.*)</span>(.*)$ / [R=301,L]
RewriteRule ^(.*)/(.*)function.require(.*)$ /$1? [R=301,L]

Esto, de forma enmascarada redireccionaba todas las visitas al sitio a otro dominio, casi identico al original, solo que se agregaba una letra a un dominio registrado especialmente para esto.

Estos eran los datos del nuevo dominio.

Current Registrar:SHANGHAI YOVOLE NETWORKS INC.
IP Address:178.175.138.9 (ARIN & RIPE IP search)
Lock Status:clientTransferProhibited
Whois Server Version 2.0

   Domain Name: ***
   Registrar: SHANGHAI YOVOLE NETWORKS INC.
   Whois Server: whois.yovole.com
   Referral URL: http://www.yovole.com
   Name Server: ERIC.NS.CLOUDFLARE.COM
   Name Server: RUTH.NS.CLOUDFLARE.COM
   Status: clientTransferProhibited
   Updated Date: 20-jun-2013
   Creation Date: 20-jun-2013
   Expiration Date: 20-jun-2014

Si se encuentran con este problema revisen el .htaccess con entradas sospechosas.
Al instante deberian actualizar wordpress a la ultima version disponible al momento de realizarlo.
Tambien seguir los pasos que se detallan aca en caso de que su sitio con wordpress haya sido comprometido, hackeado o infectado con algun tipo de codigo sospechoso.
http://codex.wordpress.org/FAQ_My_site_was_hacked

Compartir en Facebook

tt twitter micro2 Wordpress 3.3 infectado con Malware entry: MW:HTA:7

-
Comentarios (0) Trackbacks (0)

Aún no hay comentarios.


Leave a comment

(required)

Aún no hay trackbacks.