Problemas con un malware
Estamos teniendo problemas con un malware que lleva al usuario a una página para descargar un reproductor flash falso, y a los usuarios de móvil les lleva a la descarga de una aplicación maliciosa. En los dos casos, si esta aplicación no se abre, no pasa nada.
Es un problema que llevo semanas intentando solucionarlo, pero lo cierto es que no encuentro la forma de hacerlo. He buscado en Google pero no he encontrado un problema similar y hasta ahora no había salido ningún post ‘infectado’ a portada, pero hoy uno de ellos se publicó solo. Ya he instalado 5 plugins de anti-malware, pero no hay manera por lo que todas las sugerencias para solucionar este incidente son bienvenidas. Siento mucho los problemas que puedan haber causado a los lectores y espero solucionarlo cuanto antes.
De todas formas ahora parece que la página va bien y que no tiene códigos maliciosos en las entradas, pero si alguien descubre alguno, le agradecería que lo comentara. Gracias.
No sintais nada, ni que fuera culpa vuestra.
¡Suerte en la batalla!
Y vosotros viendo el Madrid, sois unos abrazateles.
SUPPORT YOUR LOCAL TEAM. NO AL ABRAZATELISMO.
Mis recomendaciones como informático serían formatear los servidores e instalar un SO poco propenso a ataques de malware (Linux). Además de esto un certificado permitiría a los usuarios detectar ese malware.
@Ralkai Gracias
@Krusher Pues sé del Sevilla 😛
@Yzumi Tenemos un linux Debian en el servidor y en cuanto al certificado, no sé para qué podría valer. Quizá para conexiones seguras, pero no hacen falta para leer un blog.
Señor Jimmy si esta imagen es lo que muestra el malware:
http://www.subirimagenes.net/pictures/3497f55dc6d8f2795c55003a5d06dfd2.jpg
La solucion es esta:
LA SOLUCIÓN:
Borré los registro de esta extensión y dejó de aparecer. Para hacer esto hagan lo siguiente:
1. MENÚ INICIO > EJECUTAR > Y entramos al Registro de Sistema (Tipeamos «regedit» + Enter)
2. En menú EDICIÓN > BUSCAR: ingresamos el nombre de la extensión «nefbimbphlddggoikpapfadmgbjjibpl» y borramos el registro que encuentre.
3. No existe un único registro de esta extensión por lo que sigan buscándolo bajo ese nombre y eliminándolos hasta que el buscador no encuentre más resultados.
* Si al buscar la extensión en el Registro de Sistema no encuentra ningún resultado, revisen si el ID de la ext. el mismo que publico en el ejemplo. Sino lo puede chequear entrando en desde el Chrome en HERRAMIENTAS > EXTENSIONES y activando el Modo de Desarrollador. Buscamos la que está bajo nombre Extension web store.
salu2
Lv1z Sí, esa sería la otra opción, que el servidor estuviese limpio, pero uno de los editores de la página tuviese el malware y al escribir posts o editarlos éstos se infectasen con el código y se propagasen por la página. Por ello, acabo de cambiar todos los niveles de usuario, a ver si acoto el problema.
Muchas gracias.
Yo le di el aviso a Krusher para que te avisara… y sí, estaba viendo al madrid, bueno mas bien al Borussia 😀
Espero que lo arregleis pronto
Que mala onda ese malware, a mi me hace escribir con HORRHORHES TE HORTHOGRAPHYA.
Suerte con la batalla :D.
Yo lo vi esta mañana, es un mensaje escrito en no sé que idioma que se muestra en un cuadro que oscurece el fondo y entrega una única opción que es un botón de «aceptar».
Suerte eliminándolo :3
no se quel0pekaskaakmkitkekladkoakorkraeskribetokonka
(si sabes que dice eres el master)
Yo como tengo el adblock lo veo como siempre
Yo los visito casi todos los dias y no me ha salido nada de nada. Uso google chrome en W8.
Creo que ya sé lo que es, es la publicidad. Pidan a quienes les proveen el servicio que tengan más precaución, o derechamente péguenles una patada en el culo por inoperantes.
@Bleny: Yo tengo AdBlock e igual lo vi.
una pregunta, mas por curiosidad pero tambien puede solucionar cosas.
el malware esta en tu equipo con el que actualizas la pagina, no en el servidor de la pagina no?
En ese caso, yo mientras que lo machaco, usaria otro explorador, cambiaria la contraseña desde otro equipo antes.
Espero que ns cuentes que estoy intrigado!
@Yeko Pero como e ido bloqueado mucha publicidad en otras paginas, esa ya la tendría en la lista de bloqueadas
Lo primero que haría yo seria lanzar un «netstat antp» para ver que conexiones hay en el servidor. Toma nota de sitios raros a los que se conecte y puertos que tengas abiertos en LISTENING. Puede que aunque hayas borrado el malware, aun queden «restos» por ahi.
Por otro lado, si sabes aproximadamente cuando fue la infección, busca archivos que se hayan creado desde esa fecha en todo el disco duro (entiendo que tienes un server propio y no un hosting compartido). Si hay cosas malignas, deberían de salirte ahi (junto con el resto de archivos fidedignos).
Si necesitas ayuda, email 🙂
Es raro por que tienes actualizado a la última versión de wordpress y no creo que sea un fallo de la plataforma. Lo de que sea uno de los autores podría ser, pero también lo veo super extraño, quiero decir… ¿¿inserta código maligno en las entradas?? no tiene lógica, sería super fácil de localizar y le pasaría en todos los textarea de cualquier formulario web, no solamente en wordpress… Yo me decanto por un fallo de seguridad en algún plugin que tengas o bien desactualizado o bien obsoleto (no sé si utilizáis muchos plugins aquí), o en otro caso, por un fallo en la plantilla que estéis usando, que no sé si es de creación propia, pero puede tener código vulnerable.
Pues quizá sea algo de un plugin… miraré a ver… pero también cabe la posibilidad de que sea un malware en el PC de un editor de la página. Yo he estado revisando el servidor y no encuentro nada sospechoso, incluso código fuente de por ejemplo, el functions.php que es donde suelen meterse este tipo de códigos.
Yo tengo el adblock instalado hasta en el firefox de mi Android
no se, si les pueda ser de utilidad consultar en esta pagina http://spamloco.net/ siempre salen post de como funcionan algunos problemas informaticos de seguridad
Con que por esto se empezó a descargar algo el movil cuando estaba en Pixfans, LOL.
Estos virus entran a través de la publicidad, quitad los anuncios y ya no entra, luego averiguad por cuál entra.
Este tipo de cosas ya las llevo viendo desde hace tiempo, por ejemplo en la desaparecida página de Escuadrón Pikmin.
Me parece más que es cosa de los navegadores, yo he visto ese tipo de pantallas de descarga con los que no tienen el «bloqueo de publicidad», en mi caso hasta ahora no me ha saltado lo que mencionas.
Los que tienen los bloqueadores y aun así les salta, revisen que no haya alguna dirección de publicidad en los filtros.
Bueno, por hoy ya no apareció el dichoso link al flash player portugués falso