Si sigue las noticias de seguridad, estoy seguro de que habrá oído hablar del malware SoakSoak. Ha estado en las noticias durante los últimos días porque afecta a más de 100.000 sitios web de WordPress y este número puede aumentar. Como también soy usuario de WordPress, seguí las noticias y supe más sobre el malware SoakSoak. Los foros de seguridad y WordPress se han visto inundados de preguntas relacionadas con la infección de malware. La gente hace preguntas sobre este malware en los foros. Y esto es obvio porque se preocupan por su negocio online. En mi artículo anterior, mencioné WPScanner, un escáner de vulnerabilidades en línea junto con consejos para proteger su WordPress. Si es usuario de WordPress, le recomiendo encarecidamente que lea ese artículo también.

En este artículo detallado, hablaré del malware SoakSoak, que dejó sin dormir a muchos propietarios de sitios web. También intentaré mostrar cómo funciona este malware y cómo afecta a un sitio web. Luego, también describiré cómo eliminar este malware de su sitio web si su sitio web se vio afectado por el malware SoakSoak. También agregaré nuevamente consejos de seguridad. Y sí, debería repetirlos, porque sé que muchos de vosotros no acudiréis al artículo anterior que os comentaba más arriba.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

¿Qué es el malware SoakSoak?

Básicamente, parece ser un malware ruso, porque es remojo.ru el que infecta WordPress modificando los archivos principales de las instalaciones de WordPress. Sucuri publicó un informe sobre este malware y descubrió que está relacionado con la vulnerabilidad RevSlider. Este malware aprovecha la vulnerabilidad RevSlider para cargar una puerta trasera en su WordPress. Si no utiliza RevSlider, no significa que pueda sentarse y relajarse, porque un solo sitio web puede infectar todos los demás sitios web alojados en el mismo servidor. Si estás en una plataforma de alojamiento compartido, lo más probable es que seas víctima de este malware, porque normalmente hay cientos de sitios web alojados en el mismo servidor. Y existe la posibilidad de que cualquiera de esos sitios web se infecte.

Este malware infecta estos dos archivos de WordPress:

Este malware agrega códigos maliciosos en estos dos archivos. Puede abrir estos dos archivos para comprobar si se inyectó algún código malicioso allí.

Pero en algunos otros sitios web también se encontraron otros archivos infectados. No se limita sólo a estos dos archivos.

Si hablamos de la infección básica, que es más común, infecta wp-includes/template-loader.php e inyecta un código PHP para incluir un archivo .js en el sitio web.

[javascript]

función FuncQueueObject()

{

wp_enqueue_script(«swfobject»);

}

add_action(«wp_enqueue_scripts», ‘FuncQueueObject’);

[/javascript]

Si conoce la codificación de WordPress, podrá comprender fácilmente lo que hace este código. Este código incluye el archivo swfobject.js en todas las páginas de su sitio web. Como ya mencionamos, swfobject.js es el otro archivo que tiene la infección.

Sucuri identificó el código .js malicioso. Este es el código que se encontró inyectado en el archivo swfobject.js del sitio web infectado de WordPress.

Si decodifica esto, encontrará que este código malicioso carga contenido del dominio SoakSoak.ru. Es por eso que este malware se llama malware SoakSoak. Luego, este malware comenzó a infectar otros sitios web que se encuentran en el mismo servidor.

Stopbadware también informó que se encontró un script Collect.js en muchos sitios web afectados. Sin embargo, se estaba cargando desde algunas direcciones IP y no desde SoakSoak.ru, pero algunos afirmaron que está relacionado con el malware SoakSoak. Estas direcciones IP también cambian periódicamente. Pero no podemos confirmar si esto estaba relacionado con el malware SoakSoak, porque no hay pruebas sólidas de que Collect.js esté relacionado. Existe la posibilidad de que sea otra cosa y que esos sitios web se hayan visto afectados por dos malwares diferentes.

Sucuri también descompiló swfobjct.swf y descubrió que ejecutaba JavaScript ofuscado solo en los navegadores IE11 y Firefox. Este código carga un iframe invisible desde milaprostaya.ru/images/.

Este milaprostaya.ru es otro sitio web infectado por el malware SoakSoak. Esto confirma que este malware también utiliza los sitios web pirateados para infectar otros sitios web. Entonces, los piratas informáticos tienen miles de sitios web para alojar sus cargas útiles y ahora pueden usarlos para piratear más sitios web. Si su sitio web también fue pirateado, existe la posibilidad de que los piratas informáticos lo utilicen ahora como fuente de infección para piratear otros sitios web.

Cómo comprobar si tu sitio web es vulnerable

Si es un usuario de WordPress y utiliza alojamiento compartido, entonces debería revisar su sitio web, porque existe la posibilidad de que su sitio web también haya sido pirateado, incluso si no está utilizando el complemento vulnerable o no tiene todos sus temas y complementos actualizados. Si su sitio web es vulnerable, puede comenzar a ver una advertencia en Chrome al intentar abrir su propio sitio web, o puede recibir una notificación en la cuenta de herramientas para webmasters de Google. Pero se necesitan unos días para que Google identifique malware en su sitio web. Por lo tanto, existen algunas formas si desea comprobar instantáneamente si su sitio web es vulnerable.

Simplemente abra esta URL en su navegador agregando la URL de su sitio web al principio:

www.yourblog.com/wp-admin/admin-ajax.php?action=revslider_show_imageimg=../wp-config.php

Si su sitio web es vulnerable, le mostrará el archivo de configuración que contiene información confidencial sobre su sitio web, incluido el nombre de usuario de db, la contraseña, salt y otras cosas. Básicamente, mostrará su archivo wp-config.php. Pero si su sitio web no es vulnerable, verá 0 o nada en el navegador.

También puede consultar el archivo de WordPress listado template-loader.php para detectar el código malicioso. Escribí el código malicioso arriba. Pero la infección también puede estar en otros archivos, por lo que esta opción puede no ser efectiva. Si no está seguro, instale complementos de seguridad que escanearán automáticamente y le informarán sobre la infección. Analizaré los complementos de seguridad eficaces de WordPress en la siguiente sección. Estos complementos encuentran e informan rápidamente la actividad maliciosa en sitios web basados ​​en WordPress.

Cómo limpiar su sitio web y eliminar el malware SoakSoak

La mejor manera de eliminar el malware SoakSoak es reemplazar los archivos de WordPress infectados con los archivos originales de WordPress, limpios y frescos. Pero también recomiendo verificar los archivos .js de sus temas y otros archivos principales para ver si están limpios. Hay cientos de archivos en el núcleo de WordPress. Entonces, la mejor manera es actualizar todos los archivos. Para ello, inicie sesión en su panel de administración de WordPress y haga clic en la opción Panel de control en el menú de la izquierda. Aquí, haga clic en Actualizaciones. En la sección Actualizaciones de WordPress, verá la versión de WordPress que está utilizando junto con la lista de complementos y temas que tienen actualizaciones pendientes. Aquí verá un botón, «Reinstalar ahora», cerca de la versión de WordPress mencionada. Esto reinstalará el WordPress recientemente lanzado y actualizará todos sus archivos.

Figura: Página de actualización de WordPress

Luego use la misma ventana para seleccionar todos los complementos pendientes de actualizar y los temas pendientes de actualizar. Puedes ver ambas opciones en la misma página. Como mencioné muchas veces, siempre debes cuidar las actualizaciones.

También puedes instalar cualquiera de los complementos de seguridad populares de WordPress para escanear tu blog y encontrar scripts maliciosos. Wordfence Security es el complemento de seguridad disponible gratuitamente para WordPress que ofrece buena seguridad. Wordfence comienza a comprobar su sitio web en busca de infecciones conocidas. También verifica los archivos principales de WordPress y los compara con los archivos originales de WordPress para encontrar infecciones. Hace que su sitio web sea seguro y 50 veces más rápido. También está conectado con una base de datos de vulnerabilidades para detectar el malware conocido. Por lo tanto, puede encontrar rápidamente si hay alguna infección en el tema o en el archivo del complemento. Una vez que conozca la infección, puede eliminarla del sitio web. Este complemento es gratuito y funciona muy bien.

Hay algunos otros complementos de seguridad que revisaremos en próximas publicaciones.

Una vez que haya terminado con la limpieza, hay otra cosa importante que debe hacer si Google ha incluido su sitio web como malware. Debe solicitar a Google que elimine esa notificación. Si Google incluye su sitio web como afectado por malware, Google Chrome lo mostrará como sospechoso con un mensaje de advertencia. También reducirá su clasificación en los motores de búsqueda. Por lo tanto, debes decirle a Google que has solucionado el problema del malware. Para ello, debe utilizar las herramientas para webmasters de Google. En las Herramientas para webmasters de Google, seleccione su sitio web y navegue hasta el menú de problemas de seguridad en el lado izquierdo de la página. Aquí, haga clic en «Solicitar una revisión». El sistema de Google escaneará su sitio web en busca de malware o software no deseado. Si no encuentra nada, Google eliminará la advertencia de su sitio web. Esto puede tardar unos días, así que tenga paciencia.

Cómo evitar malwares en un sitio web de WordPress

WordPress es el sistema de gestión de contenidos más popular y 6 de cada 10 sitios web se ejecutan en WordPress. Esta es la razón por la que es el principal objetivo de los piratas informáticos. Si estás utilizando WordPress, te recomiendo que tengas mucho cuidado. Debe seguir las pautas de seguridad que se enumeran a continuación:

Conclusión

Esta no es la primera vez que un malware infecta tantos sitios web de WordPress. Aún así, hay muchísimos usuarios que suelen ignorar las medidas de seguridad. Si tú también eres uno de ellos, es el momento de empezar a pensar en la seguridad del sitio web. En este artículo, analizamos cómo este malware infecta el sitio web. Entonces, ahora sabes que los complementos y temas antiguos son la razón principal detrás del éxito de este malware. Nunca dé ninguna oportunidad a los piratas informáticos y comience a proteger sus sitios web. Si no puede hacer mucho, al menos instale complementos de seguridad que escanearán automáticamente su sitio web y le avisarán si hay algo sospechoso. Pero si sigue las prácticas de seguridad, nunca tendrá problemas.

Si tiene alguna pregunta sobre el malware SoakSoak, puede hacerla a través de los comentarios. Si es usuario de WordPress, también puede preguntar si no puede solucionar el problema en su sitio web.

Recursos

http://codex.wordpress.org/FAQ_My_site_was_hacked

http://blog.sucuri.net//12/soaksoak-payload-analysis-evolution-of-compromised-sites-ie-11.html

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

https://www.stopbadware.org/blog//12/24/soaksoak-malware-infection-hallmarks-and-removal-resources

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *