Estás leyendo: Mis visitas se redireccionan hacia Your-needs.info, ¿qué hacer?.
R T F

Mis visitas se redireccionan hacia Your-needs.info, ¿qué hacer?



Probablemente hayas notado que cuando intentas ingresar desde Google o Yahoo! a tu weblog, te hayas encontrado con que tus visitantes están siendo redirigidos a una web llamada your-needs.info, tal y como a nosotros nos sucedió hace algunos días atrás.

Si tu respuesta es sí, entonces lamentablemente estamos ante un hackeo de magnas consecuencias para tu sitio web.

En este post explicaremos en detalle cómo corregir este hackeo y cómo afecta a tu Blog.

Antes que todo, ¿qué sucede exactamente? 

Probablemente cuando tu blog esté corriendo hayas notado que el tráfico desde los buscadores ha perdido notoriedad en tu blog. No sabes qué sucede, porque no has perdido posiciones en las búsquedas -es decir, que luego de buscarte a ti mismo en Google o Yahoo!, notas que no has desaparecido de las búsquedas.

Pues bien, sucede que algún malintencionado se ha hecho con la posibilidad de inyectar código SQL en tu base de datos y de modificar algún archivo de tu hosting para hacer esta maldad.

Encontrar ese archivo así por así, no es fácil, pero lo haremos un tanto simple.

Ese archivo es responsable de que tu blog esté redirigiendo las visitas provenientes desde Google, Yahoo! y MSN como me confirman en los Foros de Soporte de WordPress, hacia otro portal en donde se ejecuta la misma cadena de búsqueda.

Procedimiento para librarte del Hackeo

A estas alturas, probablemente ya hayas perdido la cabeza buscando la solución o como encontrar el maldito archivo que redirige tus visitas. Habrás probado todo, desde descargar una copia completa de tus archivos a tu Disco Duro e ir uno por uno leyéndolos.

La solución, es un tanto más simple que eso, ya que probablemente te desesperes abriendo los archivos PHP de WordPress sin encontrar nada.

Y es que el código no está en un archivo PHP, sino más bien está en una imagen, sí, una imagen que contiene código malicioso que se activa como plugin y que redirige tus visitas. Esta imagen/plugin también agrega código malicioso a tu sidebar de WordPress si ésta acepta el uso de Widgets -punto a favor para quienes no usamos Widgets-.

Para comenzar la desinfección, nos iremos a nuestra base de datos y buscaremos en la tabla xx_options, la lista de plugins activos llamada active_plugins, donde xx es el prefijo de tablas que configuraste la primera vez que instalaste WordPress, verás algo como lo de abajo… 

Pulsarás sobre el lápiz e iremos a editar nuestro código SQL. Al ingresar verás lo que contiene dicha tabla en la base de datos. Léela un poco y, si estás familiarizado con tu Blog, verás que todos los plugins activos están ahí -menudo descubrimiento ¿no?-.

Comienza a leer los datos de la tabla y verás que hay ¡¿UNA IMAGEN COMO PLUGIN?! pues sí. Esa imagen es la que te ha fastidiado las visitas. Vé, búscala en tus archivos y elimínala del FTP.

Luego, vete a tu panel de Control de WordPress -Dashboard o Tablero, a gusto del cliente- y desactiva con el botón que WordPress pensó para ti, todos los plugins, y luego, a activarlos uno a uno.

Prueba ahora borrando la caché de tu navegador y hacer la consulta desde google u otro buscador y prueba si eres redirigido. Si tienes la mala suerte de que aún sigue pasando, entonces vé por la sierra y el martillo.

Si el problema persiste, lo más probable es que tengas inyectado código malicioso en tus Widgets de tu Sidebar de WordPress, para corregirlo, nos iremos nuevamente a la base de datos, y buscaremos una tabla que se llama “rss_f541b3abd05e7962fcab37737f40fad8”. De encontrarla, bórrala completamente presionando sobre la equis roja que aparece a un costado.

Con esto, debería ser historia tu Hackeo. Procura actualizarte a la última versión de WordPress porque, de momento, aún no conocemos cómo es posible que se efectúe este hackeo, pero supuestamente WordPress 2.5.1 no está afecto, aunque este usuario de WordPress.org dice tener la última versión y fue hackeado de igual forma.

Ah!, cómo último detalle, da el aviso de este hackeo a tu Proveedor de Hosting o a tu administrador de Sistema, para que aumente la seguridad y te ayure a revisar si probablemente hayan archivos sospechosos, que, como le tocó a un amigo, le han llenado una carpeta completa con archivos HTML que contienen enlaces SPAM.

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

  • por la cresta que sufrimos por culpa de esta cuestion!!!…. ojala no nos vuelva a pasar…

    salu2 men….

  • Que buena, aunque ya se halla solucionado nuestro problema gracias a ti xD, la verdad es que todo fue tan rápido que no me di cuenta… de todas maneras, Muchas Gracias

  • Pingback: Your-needs.info, ¿Tu Weblog también? » Enchufados()

  • Pingback: Detectado el cómo se realizó el hackeo a los Blogs de WordPress()

  • Pingback: Algunas noticias | Paraíso Geek()

  • He estado ojeando mi base de datos y por suerte no lo tengo… me da hasta pena, quería que se me disparasen las visitas 😀

  • jim

    muchas gracias 🙂

  • De nada, Jim. Bienvenido a MarlexSystems! 🙂

  • Hay que ver que la gente si tiene tiempo para arruinarle la paz a los demás!

  • Pingback: Lo mejor de la semana XXXIX | roc21()

  • Pingback: Gaussianos » Gaussianos también sufre el hackeo de las visitas…pero ya está solucionado()

  • Pingback: Video explicativo de cómo desactivar el hackeo a WordPress que redirige los resultados de Google()

  • Yo había visto una reducción drástica de las visitas en los últimos días y no sabía por qué era, y cuando vi esto busqué y me di cuenta de que también me había pasado a mí. Busqué y encontré la imagen como plugin. La borré, desactivé los plugins y luego los activé uno a uno. Ese mismo día miré las vistas más tarde y la cosa seguía floja. AL busca me encontré el “rss_…” con otros números y letras distintos a los que comentáis. Lo borré y pensé que estaba todo arreglado. Hoy he vuelto a mirar y el “rss_…” ha vuelto a aparecer. Lo he vuelto a borrar…y acabo de mirar ahora al llegar a casa y ¡¡vuelve a estar!!

    No sé qué hacer. Por mirar he echado un ojo a los archivos del blog por si veía algo raro y he visto una cosa que me parece extraña: el archivo wp-blog-header.php se modificó el día 4 de junio, miércoles pasado, según mi cliente de ftp. Yo no lo modifiqué ese día. Le he echado un ojo pero me pierdo un poco con el php y no sé si hay algo raro.

    Si alguien sabe cuál es la solución estaría muy agradecido si me lo comenta.

    Gracias por adelantado.

    Saludos

  • He mirado la base de datos otra vez y me aparecen hasta 7 archivos “rss_…” con distintos números y letras cada uno. El que borré no tiene los mismos símbolos que el que pone en el post, pero apareció de repente al quitar la imagen-plugin y lo borré por eso. Éstos no sé si cargármelos también porque no estoy seguro de que sea por ellos.

    Espero que alguien pueda ayudarme.

    Saludos

  • Perdón por publicar varios comentarios seguidos, pero como mi problema continuaba estuve buscando por ahí y en los foros de wordpress.org encontré un post donde explican cómo desinfectarse:

    Patching the wordpress anyresults.net hack

    En él dicen que además de hacer lo que comentáis también hay que borrar un usuario fantasma que se crea y varias entradas asociadas a él. Echadle un ojo.

  • ¿Existe alguna forma de detectar el tema sin tener acceso a la base de datos? Mi blog está en wordpress.com ¿corro el riesgo de ser atacado? ¿cómo podría detectarlo?
    Gracias a todos

  • Si estás alojado en wordpress.com no te preocupes, es muy difícil que Automattic -la empresa que está a cargo de WP- no haya parchado las vulnerabilidades.

    Un abrazo.

¡Vótala!
Buscador de Marlex Systems
Patrocinan Marlex Systems
Archivo de Noticias