Wordpress-570x321

En las últimas horas miles de sitios creados con WordPress han sido infectados con un malwaredenominado visitorTracker_isMob , también conocido ya como VisitorTracker, que utiliza las webs infectadas como servidores zombie para redirigir tráfico hacia una página con un exploit que intenta infectar navegadores de los visitantes, ahí es nada.

Aunque el malware no es nuevo, ha sido en los últimos dos días cuando se ha mostrado realmente activo, como informa el blog de Securi. Si te fijas en la siguiente gráfica verás que el aumento de sitios WordPress infectadosha sido tremendo.

Sucuri-VisitorTracker-Malware-Campaign-II-840x478

Qué hace el malware

Lo que hace el malware es inyectar código como este:

function visitorTracker_isMob( ){
var ua = window.navigator.userAgent.toLowerCase();
if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|mi..|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc .. |vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i.test(ua.substr(0,4))) {
return true;
return false;
} /* .. visitorTracker .. */ /*

Este código interactúa con una segunda puerta trasera en el sitio que fuerza al navegador a cargar un marco malicioso desde las páginas donde esté instalado un Nuclear Exploit Kit.

El efecto es, como puedes ver en la siguiente captura del servidor de la empresa de seguridad Coverity, que fue hackeado, es un iframe que se carga y hace que el navegador dirija a la página del kit exploit, en este caso en vovagandon.tk (cambia regularmente).

nuclear-ek-coverity

Cómo identificar el malware

Aunque el comportamiento puede variar, en muchos sitios han aparecido ficheros denominados sample.phpprácticamente en todos los directorios de la instalación.

De todos modos lo más seguro es tener siempre activo un plugin de escaneo permanente de cambios, comoWordfence, o comprobar tu web en escáners online.

Cómo elimino el malware

Igual que con cualquier otra infección de malware tienes que realizar una limpieza total de tu sitio, que pasar por:

  1. Actualiza WordPress a la última versión del sitio oficial. Sube todos los archivos y carpetas salvo /wp-content/.
  2. Borra todos los plugins, también los de pago, e instala versiones nuevas y seguras.
  3. Borra todos los archivos que no sean de la instalación de WordPress y no tengas identificada claramente su procedencia.
  4. Revisa las carpetas y subcarpetas de uploads y borra cualquier archivo PHP que encuentres.
  5. Borra todos los temas, activos y no, también los de pago, y carga una versión nueva y segura de los mismos, especialmente el activo.

Cómo me protejo contra futuras inyecciones de malware

Lo hemos visto ya muchas veces pero las reglas son estas:

  1. Mantén WordPress actualizado siempre a la última versión.
  2. Mantén los plugins y temas actualizados siempre a la última versión.
  3. Utiliza contraseñas seguras. WordPress te las ofrece, acéptalas y no uses las de siempre.
  4. Cambia regularmente las contraseñas de administrador de WordPress y FTP.
  5. No uses los prefijos por defecto de la base de datos de WordPress.
  6. Protege WordPress contra ataques de fuerza bruta.
  7. Protege WordPress contra inyecciones SQL.
  8. Sigue paso a paso la guía para evitar malware en WordPress.
  9. Instala un buen plugin de seguridad y escaneo para WordPress.
  10. Suscríbete a Ayuda WordPress y revisa todas las guías de seguridad que publico.

Fuente | ayudawp.com


Osniel Torres Alvarez

Seguidor del mundo de la Tecnología, siempre dispuesto a ayudar a todo el que lo necesite, me encanta el desarrollo web, seguidor de todos los productos de Microsoft, principalmente Windows...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *