Antivirus para eval base64 decode
4 (80%) 1 voto

¿Qué hace el virus eval base64 decode?

El virus eval base64 decode infecta los archivos .php de tu sitio, inyectando un código malicioso al principio de cada uno de ellos. La mayoría de los sitios infectados son aquellos que están montados sobre WordPress, ya que generalmente tienen fallas de seguridad, plugins desactualizados o formularios vulnerables.

Generalmente este código que se inyecta contiene cadenas de textos alfanuméricos que corresponden a código codificado, que va dentro de funciones tales como wp_add_filter, function_exists, base64_decode, o código tal como if(!isset($GLOBALS)), pero te darás cuenta de inmediato cuando tu sitio está infectado porque en los archivos .php (sobre todo los archivos index.php), verás código extraño en las primeras líneas.

¿Cómo puede afectar a mi sitio web?

Este virus PUEDE producir muchas cosas: desde hacerte perder todo el sitio hasta que las personas simplemente vean un error en su pantalla. En algunos casos, es probable que tus visitantes sean redirigidos a algún otro sitio o incluso puede ser que no pase nada, pero lo que SIEMPRE va a suceder es que terminarás siendo castigado por Google mostrándole una alerta a tus visitantes de que tu sitio contiene malware, informándoles que es un sitio riesgoso o atacante, e imagino que más de alguna vez habrás visto esta terrible imagen que hace que tus visitantes huyan despavoridos.

sacame-de-aqui

¿Qué hago si mi sitio se infecta?

Tal como recomienda Google, lo primero que debes hacer es evaluar los daños y limpiar tu sitio. Una vez que hayas hecho eso, deberás ingresar a Google Search Console y solicitar que tu sitio sea revisado, para que vuelva a estar disponible y se elimine la alerta de seguridad.

¿Y debo limpiarlo a mano?

Por supuesto… que no. Bueno, a mi me sucedió que las primeras veces lo comencé a eliminar a mano, archivo por archivo. Respaldé la base de datos, bajé el theme, lo limpié y una vez listo tuve que reinstalar todo WordPress y sobre eso volver a instalar los plugins y el theme… una tortura!… hasta que un día se me ocurrió ver de que manera podía automatizar este proceso, y fue ahí cuando me iluminé y decidí desarrollar este antivirus.

¿Cómo funciona el antivirus eval?

Técnicamente este antivirus es un archivo .php que escanea todos los archivos de tu sitio (a partir de la carpeta donde lo hayas copiado), los revisa en base a patrones pre-definidos y luego de eso te muestra una lista de archivos infectados que puedes limpiar presionando el botón al final del listado.

Por lo mismo, simplemente debes dejarlo en la carpeta raíz de tu sitio y ejecutarlo cargando la URL de tu navegador… y luego, con el tiempo y dinero (porque el tiempo es dinero) que te has ahorrado, puedes invitarme una cerveza o al menos dejar un comentario en este post.

OJO: Algunos tips respecto a este tipo de ataques

  • A mi me sucedió que en la tabla wp_users en mysql contenía un usuario creado por los mismos atacantes, así que te recomiendo que busques ahí también para cerrarles la puerta definitivamente a estos usuarios.
  • También te encontrarás con casos en que, si el virus no es limpiado a tiempo, se producen ataques sobre los sitios ya infectados y eso probablemente genere que los archivos empiecen a perder trozos de código al final y, por lo tanto, aunque elimines el código malicioso, los sitios igual dejarán de funcionar ya que el código no está completo.
  • Si tu servidor no está bien configurado (en cuanto a seguridad), es posible que el virus infecte archivos que estén por fuera de la carpeta raíz de tu sitio (por ejemplo, por fuera de public_html, si ese es el caso). En esos casos, el virus seguirá volviendo una y otra vez.
  • Recuerda que, una vez que limpies el sitio, deberás preocuparte de actualizar todos los plugins, themes y el mismo WordPress (o el sistema que utilices) para evitar futuros ataques.
  • Como recomendación final, antes de ejecutar el antivirus, respalda la base de datos a tu computador y tu theme (con virus) para que luego puedas limpiarlo manualmente si es que es necesario.

Descarga el antivirus

Descarga el antivirus

Instrucciones: déjalo en la carpeta raíz de tu sitio y ejecútalo cargando la URL en el navegador.


Originally posted 2016-03-03 16:22:56.

Antivirus para eval base64 decode
Etiquetado en:        

Un pensamiento en “Antivirus para eval base64 decode

  • 26/03/2016 a las 19:10
    Enlace permanente

    Hola, Sebastián!

    Paso por aquí a agradecer este trabajo que te diste de crear el antivirus para el base64 decode y tu generosidad de compartirlo.

    Hace unas semanas tuvimos que reinstalar el sitio WP de un cliente porque se infectó con este bicho, y la limpieza manual no funcionaba: el hosting nos informaba de los archivos infectados, los limpiábamos, pero a las horas volvían a infectarse otros; lo peor es que este engendro del mal crea sus propios archivos que son pura basura – en nuestro caso puro correo SPAM- y los camufla con nombres relativamente convincentes para que pasen piola. Fue un quebradero de cabeza: una limpieza manual tras otra, hasta que decidimos cortar el problema de raíz.

    Si me hubiera topado con tu antivirus antes de decidir reinstalar ese sitio, posiblemente la pega hubiera sido mucho más breve. Pero bueno, las cosas pasan por que pasan 🙂 .
    Muchas gracias, un abrazo!

    Responder

Deja un comentario

¿Quieres recibir el contenido V.I.P de Preceptos Digitales?

¿Quieres recibir el contenido V.I.P de Preceptos Digitales?

Ingresa tu correo y te enviaremos contenidos especiales para quienes escuchan el Podcast!



Te has suscrito exitosamente! Nos hablamos!