Como eliminar “Hacked By haxorsistz” de WordPress

Ayer fue otro día de locura en España para cientos de webs bajo WordPress que fueron hackeadas por «haxorsistz». Se vieron afectadas sobre todo webs de algunos proveedores de alojamiento web españoles con panel de control CPanel. En las webs infectadas aparecía una o varias veces el texto «Hacked By haxorsistz«.

Parece ser que en España, todos estos hackeos llegan cuando en otros países ya se ha controlado; para más información ver esta entrada del soporte de WordPress de hace 4 meses, reavivado hace un mes cuando se propagaron estos hackeos.

Hacked by Haxorsistz (sitio hackeado)

Los hackers de «Hacked By haxorsitz» hace un mes confirmaron que lo único que hacían era modificar el archivo index.php del tema activo, pero parece que esto no es cierto en todos los casos; parece que ha ido evolucionando.

Hay otras instalaciones en la cuales también se han infectado los siguientes archivos del tema activo: header.php, 404.php, functions.php además del index.php.

Han aparecido archivos nuevos: gay.php en wp-admin y selli.php en el directorio raíz.

Se ha modificado el archivo index.php en el directorio raíz de la instalación de WordPress.

Y finalmente también hay veces que se ha incluido información en ofuscada en los widgets. Este contenido se ha ofuscado para que cuando se ve el código fuente, su funcionalidad no sea visible a primera vista. Este código escondido bien se puede eliminar revisando cada uno de los widgets activos del tema o directamente en la base de datos dentro de la tabla wp_options (que es la tabla en la que se guardan los datos de los widgets). Hay que buscar por cadenas de texto similares a:

<script>document.documentElement.innerHTML = unescape(»%3c%68%74%6d%6c%3e%0d%0a%3c%74%69%

Si queréis ver el contenidos, podéis utilizar un servico para desofuscar su contenido, como por ejemplo: www.patzcatz.com/unescape.htm

 

¿Cómo eliminar “Hacked By haxorsistz” de WordPress?

Hay que revisar y volver a subir los siguientes archivos:

  • Los siguientes archivos del tema activo: header.php, 404.php, functions.php además del index.php.
  • El archivo index.php en el directorio raíz de la instalación de WordPress.

Ver si han aparecido nuevos archivos y eliminarlos:

  • gay.php en wp-admin
  • selli.php en el directorio raíz

Ver y eliminar información de los widgets:

  • Ver si hay información  en los widgets que no debería de estar ahí y eliminarla o bien directamente en el widget o a través de la tabla wp_options (que es donde se guarda esta información).

 

Básicamente los pasos son los mismos que para eliminar el «hacked by hacker» del que nos hicimos eco en Noviembre: Como eliminar “Hacked by Hacker” de WordPress. En la sección «¿Cómo se puede arreglar?» hay una explicación extensa de cómo arreglar un hackeo.

Eso si, es muy importante tener copias de seguridad de la instalación y si no la tenemos, rezar para que la empresa de alojamiento la tenga. Esto cada vez va siendo más importante y hay que tenerlo más en cuenta a la hora de contratar un alojamiento.

 

Si has sido afectado por el “Hacked By haxorsistz” déjanos un comentario. Y si necesitas ayuda, pregunta, que intentaremos ayudarte.

 

Descubre porqué somos Apasionados del Marketing

Mira también

Cómo saber el stock de un producto en Amazon (truco)

Hoy os quiero presentar un truco que llevamos usando desde hace tiempo y que a …

6 comentarios

  1. Hola, en Diciembre mi web se fue al traste por este virus. Mi proveedor, Red Coruna; hizo una limpiez y borró los archivos infectados y restauró una copia de seguridad.
    ahora cuando intento dar contenido a la pestaña blog (para que salgan todos los post) me sale una página en blanco «Hacked By haxorsistz»

    El caso es que la web va bien ¿puede ser un resto?

    • gracias solucionado, subí el archivo idex. de nuevo. gracias

    • Nos alegramos mucho que hayas podido solucionarlo. Normalmente cuando pasa algo así, es que algún archivo sigue estando «infectado». Lo mejor es siempre volver a revisarlos todos.

      También te recomendamos el uso de algún plugin de copias de seguridad de WordPress, que siempre funcionan muy bien en estos momentos.

    • Hola a todos.
      Mi proveedor es Redcoruna y ya llevo 8 ataques desde diciembre y siempre me acaban tumbando el blog. He instalado plugins de defensa etc pero nada, cuando me advierte ya es tarde. Creo que meten código a través del editor de Temas (esto me dice el proveedor) y se apoderan del usuario admin, incluso sin existir este, pues cambié los usuarios.
      Creo que esto es por una vulnerabilidad del instalador automático del CPANEL, porque si no no me lo explico. Voy a instalar todo manual, intentando no perder entradas y comentarios del blog y ver si hay suerte, porque ya no se que hacer. Me han hecho de todo, he restaurado copias, etc, etc
      Saludos

    • Hola a todos.
      Mi proveedor es Redcoruna y ya llevo 8 ataques desde diciembre y siempre me acaban tumbando el blog. He instalado plugins de defensa etc pero nada, cuando me advierte ya es tarde. Creo que meten código a través del editor de Temas (esto me dice el proveedor) y se apoderan del usuario admin, incluso sin existir este, pues cambié los usuarios.
      Creo que esto es por una vulnerabilidad del instalador automático del CPANEL, porque si no no me lo explico. Voy a instalar todo manual, intentando no perder entradas y comentarios del blog y ver si hay suerte, porque ya no se que hacer. Me han hecho de todo, he restaurado copias, etc, etc
      Saludos

  2. Yo fui uno de los «afortunados», en uno de mis sitios hace un momento apareció un aviso similar, solo que decía «Hacked By haxors» ha de ser alguien de la misma organización.

    Saludos.