Infección WordPress link-template.php.suspected

Se ha descubierto una infección que afecta a los sitios web con WordPress y se trata de una modificación en el nombre del fichero link-template.php por link-template.php.suspected. Esto provoca que el sitio web deje de funcionar viéndose únicamente una pantalla en blanco.

Por ahora no se han encontrado soluciones definitivas para solucionar este problema, todavía no existe parche por lo que no sirve actualizar  la última versión de WordPress (4.2.2). Lo que se puede hacer es buscar el código malicioso que se encuentra alojado en nuestro sitio web y proceder a su neutralización para intentar impedir la modificación del archivo.

El siguiente comando nos ayudara en la tarea para la localización de contenido malware:

egrep -Rl ‘function.*for.*strlen.*isset’ *

execute_this

También podemos utilizar el siguiente comando: egrep -Rl ‘\$GLOBALS.*\\x’ *

Hay que tener presente que se debe de separar los archivos que son buenos (aunque contengan líneas sospechosas) de los archivos con contenido malicioso y perjudicial para el sitio web. En las siguientes imágenes vemos un ejemplo de archivo malicioso visualizado a través del comando cat/more.

contenido_malware

Es posible que aun limpiando todos los archivos infectados volvamos a sufrir el ataque pasado unos días. Por lo que podría realizarse una tarea para que se ejecute cada pocos minutos y renombre los archivos .suspected a su nombre original. Se podría crear el siguiente cron:

Script:

#!/bin/bash
cd /home/username/public_html
find /home/username/public_html -type f -name ‘*.suspected’ | while read f; do mv «$f» «${f%.suspected}»; done

Cron:

*/5 * * * * /root/wpfix.sh >/dev/null

Comparte este tutorial:

No hay comentarios en este tutorial

Sé el primero en enviar un comentario: