Si sigue las noticias de seguridad, estoy seguro de que habrá oído hablar del malware SoakSoak. Ha estado en las noticias durante los últimos días porque afecta a más de 100.000 sitios web de WordPress y este número puede aumentar. Como también soy usuario de WordPress, seguí las noticias y supe más sobre el malware SoakSoak. Los foros de seguridad y WordPress se han visto inundados de preguntas relacionadas con la infección de malware. La gente hace preguntas sobre este malware en los foros. Y esto es obvio porque se preocupan por su negocio online. En mi artículo anterior, mencioné WPScanner, un escáner de vulnerabilidades en línea junto con consejos para proteger su WordPress. Si es usuario de WordPress, le recomiendo encarecidamente que lea ese artículo también.
En este artículo detallado, hablaré del malware SoakSoak, que dejó sin dormir a muchos propietarios de sitios web. También intentaré mostrar cómo funciona este malware y cómo afecta a un sitio web. Luego, también describiré cómo eliminar este malware de su sitio web si su sitio web se vio afectado por el malware SoakSoak. También agregaré nuevamente consejos de seguridad. Y sí, debería repetirlos, porque sé que muchos de vosotros no acudiréis al artículo anterior que os comentaba más arriba.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
¿Qué es el malware SoakSoak?
Básicamente, parece ser un malware ruso, porque es remojo.ru el que infecta WordPress modificando los archivos principales de las instalaciones de WordPress. Sucuri publicó un informe sobre este malware y descubrió que está relacionado con la vulnerabilidad RevSlider. Este malware aprovecha la vulnerabilidad RevSlider para cargar una puerta trasera en su WordPress. Si no utiliza RevSlider, no significa que pueda sentarse y relajarse, porque un solo sitio web puede infectar todos los demás sitios web alojados en el mismo servidor. Si estás en una plataforma de alojamiento compartido, lo más probable es que seas víctima de este malware, porque normalmente hay cientos de sitios web alojados en el mismo servidor. Y existe la posibilidad de que cualquiera de esos sitios web se infecte.
Este malware infecta estos dos archivos de WordPress:
- wp-incluye/js/swfobject.js
- wp-incluye/template-loader.php
Este malware agrega códigos maliciosos en estos dos archivos. Puede abrir estos dos archivos para comprobar si se inyectó algún código malicioso allí.
Pero en algunos otros sitios web también se encontraron otros archivos infectados. No se limita sólo a estos dos archivos.
Si hablamos de la infección básica, que es más común, infecta wp-includes/template-loader.php e inyecta un código PHP para incluir un archivo .js en el sitio web.
[javascript]
función FuncQueueObject()
{
wp_enqueue_script(“swfobject”);
}
add_action(“wp_enqueue_scripts”, ‘FuncQueueObject’);
[/javascript]
Si conoce la codificación de WordPress, podrá comprender fácilmente lo que hace este código. Este código incluye el archivo swfobject.js en todas las páginas de su sitio web. Como ya mencionamos, swfobject.js es el otro archivo que tiene la infección.
Sucuri identificó el código .js malicioso. Este es el código que se encontró inyectado en el archivo swfobject.js del sitio web infectado de WordPress.
Si decodifica esto, encontrará que este código malicioso carga contenido del dominio SoakSoak.ru. Es por eso que este malware se llama malware SoakSoak. Luego, este malware comenzó a infectar otros sitios web que se encuentran en el mismo servidor.
Stopbadware también informó que se encontró un script Collect.js en muchos sitios web afectados. Sin embargo, se estaba cargando desde algunas direcciones IP y no desde SoakSoak.ru, pero algunos afirmaron que está relacionado con el malware SoakSoak. Estas direcciones IP también cambian periódicamente. Pero no podemos confirmar si esto estaba relacionado con el malware SoakSoak, porque no hay pruebas sólidas de que Collect.js esté relacionado. Existe la posibilidad de que sea otra cosa y que esos sitios web se hayan visto afectados por dos malwares diferentes.
Sucuri también descompiló swfobjct.swf y descubrió que ejecutaba JavaScript ofuscado solo en los navegadores IE11 y Firefox. Este código carga un iframe invisible desde milaprostaya.ru/images/.
Este milaprostaya.ru es otro sitio web infectado por el malware SoakSoak. Esto confirma que este malware también utiliza los sitios web pirateados para infectar otros sitios web. Entonces, los piratas informáticos tienen miles de sitios web para alojar sus cargas útiles y ahora pueden usarlos para piratear más sitios web. Si su sitio web también fue pirateado, existe la posibilidad de que los piratas informáticos lo utilicen ahora como fuente de infección para piratear otros sitios web.
Cómo comprobar si tu sitio web es vulnerable
Si es un usuario de WordPress y utiliza alojamiento compartido, entonces debería revisar su sitio web, porque existe la posibilidad de que su sitio web también haya sido pirateado, incluso si no está utilizando el complemento vulnerable o no tiene todos sus temas y complementos actualizados. Si su sitio web es vulnerable, puede comenzar a ver una advertencia en Chrome al intentar abrir su propio sitio web, o puede recibir una notificación en la cuenta de herramientas para webmasters de Google. Pero se necesitan unos días para que Google identifique malware en su sitio web. Por lo tanto, existen algunas formas si desea comprobar instantáneamente si su sitio web es vulnerable.
Simplemente abra esta URL en su navegador agregando la URL de su sitio web al principio:
www.yourblog.com/wp-admin/admin-ajax.php?action=revslider_show_imageimg=../wp-config.php
Si su sitio web es vulnerable, le mostrará el archivo de configuración que contiene información confidencial sobre su sitio web, incluido el nombre de usuario de db, la contraseña, salt y otras cosas. Básicamente, mostrará su archivo wp-config.php. Pero si su sitio web no es vulnerable, verá 0 o nada en el navegador.
También puede consultar el archivo de WordPress listado template-loader.php para detectar el código malicioso. Escribí el código malicioso arriba. Pero la infección también puede estar en otros archivos, por lo que esta opción puede no ser efectiva. Si no está seguro, instale complementos de seguridad que escanearán automáticamente y le informarán sobre la infección. Analizaré los complementos de seguridad eficaces de WordPress en la siguiente sección. Estos complementos encuentran e informan rápidamente la actividad maliciosa en sitios web basados en WordPress.
Cómo limpiar su sitio web y eliminar el malware SoakSoak
La mejor manera de eliminar el malware SoakSoak es reemplazar los archivos de WordPress infectados con los archivos originales de WordPress, limpios y frescos. Pero también recomiendo verificar los archivos .js de sus temas y otros archivos principales para ver si están limpios. Hay cientos de archivos en el núcleo de WordPress. Entonces, la mejor manera es actualizar todos los archivos. Para ello, inicie sesión en su panel de administración de WordPress y haga clic en la opción Panel de control en el menú de la izquierda. Aquí, haga clic en Actualizaciones. En la sección Actualizaciones de WordPress, verá la versión de WordPress que está utilizando junto con la lista de complementos y temas que tienen actualizaciones pendientes. Aquí verá un botón, “Reinstalar ahora”, cerca de la versión de WordPress mencionada. Esto reinstalará el WordPress recientemente lanzado y actualizará todos sus archivos.
Figura: Página de actualización de WordPress
Luego use la misma ventana para seleccionar todos los complementos pendientes de actualizar y los temas pendientes de actualizar. Puedes ver ambas opciones en la misma página. Como mencioné muchas veces, siempre debes cuidar las actualizaciones.
También puedes instalar cualquiera de los complementos de seguridad populares de WordPress para escanear tu blog y encontrar scripts maliciosos. Wordfence Security es el complemento de seguridad disponible gratuitamente para WordPress que ofrece buena seguridad. Wordfence comienza a comprobar su sitio web en busca de infecciones conocidas. También verifica los archivos principales de WordPress y los compara con los archivos originales de WordPress para encontrar infecciones. Hace que su sitio web sea seguro y 50 veces más rápido. También está conectado con una base de datos de vulnerabilidades para detectar el malware conocido. Por lo tanto, puede encontrar rápidamente si hay alguna infección en el tema o en el archivo del complemento. Una vez que conozca la infección, puede eliminarla del sitio web. Este complemento es gratuito y funciona muy bien.
Hay algunos otros complementos de seguridad que revisaremos en próximas publicaciones.
Una vez que haya terminado con la limpieza, hay otra cosa importante que debe hacer si Google ha incluido su sitio web como malware. Debe solicitar a Google que elimine esa notificación. Si Google incluye su sitio web como afectado por malware, Google Chrome lo mostrará como sospechoso con un mensaje de advertencia. También reducirá su clasificación en los motores de búsqueda. Por lo tanto, debes decirle a Google que has solucionado el problema del malware. Para ello, debe utilizar las herramientas para webmasters de Google. En las Herramientas para webmasters de Google, seleccione su sitio web y navegue hasta el menú de problemas de seguridad en el lado izquierdo de la página. Aquí, haga clic en “Solicitar una revisión”. El sistema de Google escaneará su sitio web en busca de malware o software no deseado. Si no encuentra nada, Google eliminará la advertencia de su sitio web. Esto puede tardar unos días, así que tenga paciencia.
Cómo evitar malwares en un sitio web de WordPress
WordPress es el sistema de gestión de contenidos más popular y 6 de cada 10 sitios web se ejecutan en WordPress. Esta es la razón por la que es el principal objetivo de los piratas informáticos. Si estás utilizando WordPress, te recomiendo que tengas mucho cuidado. Debe seguir las pautas de seguridad que se enumeran a continuación:
- Instala un buen antivirus en tu sistema y mantenlo actualizado. La mayoría de las veces, el malware infecta un sitio web desde los sistemas. Como propietario de un sitio web, a menudo descargará y cargará archivos en el servidor. Si su sistema está infectado, también puede afectar su alojamiento.
- Regístrese en una buena empresa de alojamiento web. Las buenas empresas de alojamiento web realizan actualizaciones de seguridad adecuadas en sus servidores. Entonces puedes confiar en ellos. Las empresas de alojamiento web económicas son económicas, pero pueden representar un gran riesgo. Si utiliza un servidor no administrado, la seguridad está en sus manos. Mantenga su servidor seguro tanto como pueda.
- Mantenga actualizados su versión, temas, complementos y servidor de WordPress. La mayoría de las personas que se convierten en víctimas de este malware son aquellas que generalmente se olvidan de actualizar complementos o temas. Y los piratas informáticos generalmente atacan estos sitios web. Si está utilizando un complemento, tema o versión de WordPress desactualizada, está poniendo su sitio web en un gran riesgo. En cada nueva actualización, WordPress incluye correcciones de seguridad. Por lo tanto, esté siempre atento a las actualizaciones.
- Descargue siempre complementos o temas solo de WordPress.og o fuentes confiables. No se recomienda descargar un tema anulado. La mayoría de los temas y complementos anulados vienen con códigos cifrados que abren puertas traseras. Estos también pueden contener malware. Por lo tanto, es mejor optar por temas y complementos oficiales.
- Utilice “Limitar inicios de sesión no válidos” en su WordPress. Esto protegerá su inicio de sesión de WordPress contra ataques de fuerza bruta. La mayoría de los sitios web de WordPress son pirateados mediante fuerza bruta al iniciar sesión. Y una cosa más, nunca uses el nombre de usuario de administrador predeterminado. El nombre de usuario “admin” es común y fácil de adivinar. Facilita la fuerza bruta, porque sólo tienen que adivinar la contraseña. El 50% del trabajo ya está hecho.
- Utilice un firewall de aplicaciones web. Hay muchas empresas que ofrecen buenos firewalls para aplicaciones web. Si se ajusta a tu presupuesto, puedes adquirir uno. Si eres lo suficientemente geek, puedes gestionar estas cosas tú mismo. En la sección de recursos en línea del Instituto InfoSec, hemos publicado varios buenos artículos para aumentar su conocimiento sobre la seguridad de las aplicaciones web. Seguramente debería visitar este blog con regularidad para saber más sobre la seguridad de las aplicaciones web.
Conclusión
Esta no es la primera vez que un malware infecta tantos sitios web de WordPress. Aún así, hay muchísimos usuarios que suelen ignorar las medidas de seguridad. Si tú también eres uno de ellos, es el momento de empezar a pensar en la seguridad del sitio web. En este artículo, analizamos cómo este malware infecta el sitio web. Entonces, ahora sabes que los complementos y temas antiguos son la razón principal detrás del éxito de este malware. Nunca dé ninguna oportunidad a los piratas informáticos y comience a proteger sus sitios web. Si no puede hacer mucho, al menos instale complementos de seguridad que escanearán automáticamente su sitio web y le avisarán si hay algo sospechoso. Pero si sigue las prácticas de seguridad, nunca tendrá problemas.
Si tiene alguna pregunta sobre el malware SoakSoak, puede hacerla a través de los comentarios. Si es usuario de WordPress, también puede preguntar si no puede solucionar el problema en su sitio web.
Recursos
http://codex.wordpress.org/FAQ_My_site_was_hacked
http://blog.sucuri.net//12/soaksoak-payload-analysis-evolution-of-compromised-sites-ie-11.html
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
https://www.stopbadware.org/blog//12/24/soaksoak-malware-infection-hallmarks-and-removal-resources