Este semana tuvimos una interesante batalla con un virus de WordPress así que vamos a recapitularlo porque tal vez a alguien le está pasando algo parecido y nuestra experiencia pueda servirle, ya se para resolver este problema o uno similar. Vamos a utilizar el formato de crónica para narrarlo.
Alerta
Una persona nos contacta para consultarnos si podíamos ayudarlo con su sitio ya que estaba teniendo problemas. Nos dice que estaba de viaje en un país vecino en el medio de un evento al que había asistido y donde debía mostrar el sitio de su empresa durante algunos días. El problema era que su antivirus le alertaba de riesgos en su propia web no permitiéndole abrirla. La situación era un caos y el trabajo de varias semanas corría peligro.
Análisis
Nos comenta que había desarrollado el sitio en WordPress con alguien que él conocía pero que ya no le respondía los mensajes así que nos preguntó a nosotros si podíamos ayudarlo. Nos da los accesos y comenzamos a analizar la situación. La situación era:
- Sitio web desarrollado en WordPress con Elementor.
- Varios plugins desactualizados.
- Servidor funcionando con LiteSpeed en Amazon Web Services.
- Varios archivos infectados en el core de WordPress.
- Varios archivos infectados en los plugins.
- Base de datos infectada, creando usuarios que no se podían borrar.
- Una carpeta de plugin sospechosa llamada
wp-cleansong
Con este panorama vimos que esta infección era bastante moderna ya que operaba distinto a las que ya conocemos y que la solución no iba a ser simple ni rápida ya que estaban comprometidos archivos de distintos niveles e inclusive la base de datos.
Pudimos ver que este virus operaba finalmente de la siguiente manera. Inyectaba un script en el front, más precisamente en el head del sitio, para poder identificar si el usuario estaba ingresando desde un smartphone, en caso de ser así, lo redirigía a otras páginas que por lo que pudimos ver eran de apuestas y casino.
Investigación
Sabiendo un poco más lo que pasaba nos pusimos a investigar qué otros casos similares se habían estado discutiendo y llegamos a una publicación de Reddit donde pudimos confirmar que se trataba de algo nuevo sin demasiadas apariciones previas.
También se comentaba que la infección se generaba en una versión vulnerable del plugin LiteSpeed Caché, que es muy popular para optimizar los sitios que corren sobre ese entorno. Si bien el plugin ya fue actualizado y ese problema corregido, al no haber descargado esa versión se vio expuesto.
Soluciones
Primero replicamos el sitio en otro entorno e intentamos eliminar los archivos infectados pero era difícil determinar hasta donde había llegado el ataque. Por otro lado al intentar eliminar los registros maliciosos de la base de datos notamos que volvían a escribirse.
Teniendo esto en cuenta decidimos que la mejor solución sería realizar una instalación desde cero de WordPress, instalar los plugins necesarios solamente descargándolos desde sus orígenes, reinstalar una versión nueva del tema que estaban usando e importar el contenido revisando que solo estamos trayendo contenido sano.
De esa manera pudimos asegurarnos de que quitamos todos los archivos y los registros. Aprovechamos para mudarlo a uno de nuestro servidores para poder monitorear la actividad y asegurarnos de que todo fuera a funcionar correctamente.
Otros casos
¿Estás experimentando una situación con este virus o alguno similar? Nuestro equipo puede ayudarte a solucionarlo de manera efectiva.