Redirección a vídeo Justin Bieber  

Hola,

Actualmente no veo que cargue el vídeo. Viendo la naturaleza de este vídeo da la sensación de que te han hackeado la web. Puede que haya sido mediante un plugin pero no se puede saber con seguridad. Si dispones de una copia de seguridad de la web anterior a este problema quizá la mejor opción pasaría por restaurar esa copia.

El que las herramientas de detección de hackeo no hayan detectado nada no significa que pueda haber algo, no son infalibles en este sitio.

Por lo que comentas ya revisado todos los ficheros de la web en busca del código del vídeo. Entiendo que te refieres a los archivos de WordPress de tu web. Si no has localizado nada haz una backup de la base de datos, descárgalo a tu equipo y busca el código en ella para ver si encuentras algo.

En el siguiente enlace se habla de un problema similar al tuyo:

http://stackoverflow.com/questions/22996398/wordpress-website-posts-getting-redirected-to-a-youtube-video

Dice que busques en los archivos de tu web el código:

 http://spamcheckr.com/l.php 

y lo borres. Una vez hecho esto tendrías que cambiar las contraseñas de usuarios administradores inmediatamente. Luego revisa la versión de WordPress que estás utilizando (debería ser la última) y los plugins que tienes instalados.

Precisamente lo que dices ya lo hice siguiendo las instrucciones del post que enlazas. Probaré de nuevo.

No tengo un backup anterior al problema.

Lo que hice antes de migrar a Webempresa es crear un WordPress completamente nuevo y lo único que reutilicé fue la base de datos y el directorio upload para las imágenes por lo que sospecho que el problema está en la base de datos.

De todos modos cuando vuelva a repetirse el problema te enviaré el enlace nuevo que tenga el problema. Hoy lo he tenido varias horas; pero he escrito un ticket en lugar de hacerlo al foro y se ha arreglado el problema solo. Lo que pasa que me ha pasado varias veces y sé que es recurrente, y aunque he hecho pruebas desactivando plugins me ocurre una y otra vez.

Muchas gracias por tu ayuda.

Un saludo,

José María

Hola,

Haz el backup de la base de datos y edita el archivo del backup (formato sql). Busca dentro de aquí el código que habíamos comentado para ver si aparece.

Hola Pablo.

Acabo de hacer un truco para la búsqueda.

He usado http://3cero.com/searchreplacedb2.php

y he buscado para reemplazar:
http://spamcheckr.com/l.php
spamcheckr.com/l.php
RFngSCaY5nA

y me siempre me ha salido el mensaje (en cada caso con el texto a reemplazar correspondiente):

In the process of replacing "spamcheckr.com/l.php" with "spamcheckr_.com/l.php" we scanned 21 tables with a total of 32818 rows, 0 cells were changed and 0 db update performed and it all took 1.608270 seconds.

Entiendo entonces que, salvo que esté el código oculto de otra manera, no está en la base de datos.

Un saludo,

José María

Hola,

Es posible que el código esté encriptado de alguna forma. No siempre es fácil encontrar la causa del problema.

Hola Pablo.

Siguiendo los consejos de http://www.lifengadget.com/lifengadget/solve-redirection-justin-beiber-video-wordpress/

Me he instalado Fileseek y buscando http://spamcheckr.com/l.php no encuentro nada.

Buscando RFngSCaY5nA me aparecen 25 resultados (es una copia que bajé del hosting cuando el problema ocurría). Adjunto los resultado como fichero CSV.

Observo que hay varias URLs afectadas; pero sólo en el caché. Por eso cuando lo borro se arregla provisionalmente.

¿Crees que desinstalando el caché se arreglará el problema?

Un saludo,

José María

Hola

Es posible que este relacionado con el plugin de cache, borra la cache y trabaja temporalmente con el plugin de cache desabilitado y verifica si te sigue ocurriendo lo mismo.

Que plugins adicionales has instalado recientemetne?,

También sería bueno cambiar la clave de administración de tu sitio

Saludos

Hola John.

Los plugins que tengo instalados son:

• Akismet
• Bottom of every post
• Formulario de Contacto 7
• Google Plus Authorship
• Theia Sticky Sidebar
• Tweet old post
• Ultimate Social Deux
• upPrev
• WordPress SEO
• WP Super Cache

De los cuales ya he probado desactivar Theia Sticky Sidebar y Ultimate Social Deux sin que se hubiera solucionado el problema.

Voy a desactivar, después de borrar el caché, WP Super Cache y veré si se soluciona el problema.
Salvo que vea otra vez la redirección, tendré que esperar un tiempo, ya que es un problema aleatorio con una frecuencia, al menos lo que he detectado hasta ahora, de una vez al día.

Muchas gracias.

Un saludo,

José María

HOla Jose

Si será mejor que pruebes primero eon el plugin de cache ya que este es el que genera las salidas html fianles de tu sitio web y posiblemente es el que este insertando el código html meta adicional

Saludos.

Hola.

He localizado el código malicioso, estaba en dos plugins por lo que aunque probara a desactivar uno para localizar el plugin con el malware, el otro seguía activo impidiéndome detectarlo.

El código ya lo he eliminado. Era el siguiente:

Donde mt_rand(1,20) == 1 aleatorizaba la redirección y c3BhbWNoZWNrci5jb20vY2hlY2sucGhw ejecutaba http://spamcheckr.com/check.php que producía la redirección.

La explicación completa del proceso de localización del malware se puede leer en:
http://3cero.com/malware-wordpress/

Doy por cerrado este hilo, ya que el problema está resuelto.

Muchas gracias.

José María