Lock360.php | Tu web a sido HACKEADA.

archivo wp-m

Lock360.php entre tus archivos significa hackeado.

Antes de nada deciros que no soy programador y desconozco mucho la programación php pero una de mis webs en el dia de ayer (fíjese en la fecha de este articulo) fue hackeada.

Para los que no lo sabéis, cuando tengáis una web reciente y con algunos artículos se recomienda registrarlo en search console de google. De esta manera le diremos a google que cierto dominio (www.tuweb.laextensión) es de nuestra propiedad y estaremos informados de lo que suceda (información del estado de los links, visitas y demás que no voy a detallar.

El caso es el siguiente:

Me llega un correo de search console diciéndome que  dequentinsgefhgo@gmail.com a registrado mi dominio a su nombre y que pertenece ahora como propietario de la web que es mía. Cuando registrais vuestro dominio en search console os aconsejo hacerlo por las DNS no por archivo html, ya que este tipo a saber cómo entró en los archivos de mi web y tuvo acceso para subir un archivo html (se lo proporcionó google para comprobar que ese sitio era suyo) y registrarlo a su nombre.

Cuando me dispongo a comprobar dicho archivo html me doy cuenta de que hay mas archivos creados y digo…¡¡¡COMORRRR!!!. Si hay uno con el nombre que me puse a buscar en google el famoso LOCK360.PHP. Mi primera reacción fue… cuando he contratado yo norton360 en mi web ?, abro dicho archivo y contiene caracteres chinos, japoneses o yo qué sé.

No solo eso, también había creado un archivo con el nombre wp-m.php el cual accedía a TODOS mis archivos como si se tratase de un navegador, como en windows que puedes ir abriendo carpetas unas tras otras y ver todo el contenido.

Como la web la tenía hecha en local, pues copié todos los archivos a mi pc y esto apareció y traduje con el traductor del chrome. Para ver el contenido desde vuestra propia web tan solo escribis vuestro dominio.com/lock360.php.

 

Detallo:

  1. Al pinchar en verificar el entorno: Bloquear ruta de archivo: C: \ xampp \ htdocs \ wordpress / index.php
  2. Hacer archivos bloqueados modificables: Cambia los permisos de los archivos y carpetas.
  3. Archivo 2-Lock: Crea un nuevo archivo con el mismo nombre Lock360.php, en mi caso en la ruta \wp-includes\Requests\Auth
  4. Función de visualización: no hace nada o eso creo yo.
  5. phpinfo: ya sabéis, muestra la información php del servidor.
  6. php-version: en mi caso un error.

Y este es el aspecto del archivo wp-m.php:

archivo wp-m

archivo wp-m-php

Buscando un poco de info mientras escribo el articulo, ya es conocido este tipo de archivos y para los que seáis cuicos (culos inquietos) no hace falta que os comente nada, la imagen habla por si sola.

Consejos:

  1. Haced copia de seguridad tanto de archivos como de la base de datos. Yo no he revisado la mía todavía.
  2. Registrad vuestro dominio en search console.
  3. Si vuestro sitio está hackeado y no tenéis copia de seguridad, toca trabajo duro. Buscad info y aún así, haced copia de todo.
  4. Actualizad TODO, plugins, themes.
  5. Desinstalad TODO lo que no este activo o no usais para nada en la web.
  6. Buscad info para proteger los archivos y el sitio.

Buscando mas info, me topé con otra web hackeada y mi sorpresa es que el archivo para navegar por sus archivos era wp-info.php. 

Mucho cuidado y mucha suerte.

EDITADO.

Mi solución fue:

  1. Descargar la web y analizarla con un antivirus en local o un antivirus online tipo virustotal.
  2. Buscar exhaustivamente la ubicación del archivo lock360.php.
  3. Eliminar todos los archivos lock360.php, wp-info.php y wp-m.php.
  4. Reemplazar el archivo index.php por una copia anterior.
  5. Actualizar todo y eliminar los plugins que no tenían soporte.

Cómo funciona lock360.php.

Como ya dije no entiendo mucho de php pero ahí lo dejo.

Aparentemente hackearon la web por medio de un plugin sin soporte, se creaba un archivo lock360.php en el directorio raíz que a su vez creaba el wp-m.php, con el cual modificaban el acceso a las carpetas, \wp-includes\Requests\Auth para crear una copia del archivo lock360.php.

Si eliminas cualquier archivo sin eliminarlo todo por completo, se creará nuevamente. Debes empezar por actualizar TODO y DESHABILITAR o ELIMINAR los plugins sin soporte. Reemplazar el archivo index.php. Luego eliminar los archivos con el nombre lock360.php y terminar por el wp-m.php.

Te puedes ayudar de los logs del servidor para encontrar el archivo y ver los movimientos que ha hecho mientras se ejecutaba.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.