Eliminar malware Admedia/Adverting iFrame Infection en wordpress
En mi servidor he detectado un malware que cuando entro a algunas páginas google me dice que tengo contenido malicioso, concretamente mi servidor linux con debian tiene plesk instalado y en todas las páginas bajo un determinado vhost, es decir dominio principal y subdominios asociados me está pasando. Como siempre hago he empezado a revisar la web donde me ocurría esto. he verificado wordpress y estaba actualizado, he verificado los plugins y estaban todos actualizados, en principio no veía nada. Por ftp he descargado toda la web y he pasado un antivirus a todo el código y me ha detectado que en los archivos javascript de casi todos los plugins había un código malicioso en la última línea, comenzaba con un comentario como este /*e8def60c62ec31519121bfdb43fa078f*/ y a continuación un código como este ;window[“\x64\x6f …. me he armado de paciencia y he eliminado este código en todos los javascript, en total mi antivirus había detectado 10.
Al rato he vuelto a entrar y estaba todo infectado, y todas las webs, tras buscar información por google he detectado que existe una nueva vulnerabilidad, el malware malware Admedia/Adverting iFrame Infection, al parecer debido a un plugin desactualizado en un determinado wordpress, a través de este se propaga la infección al resto de webs en wordpress y otros cms que estén en el mismo vhost, me ha costado mucho eliminarlo, y gracias a un comentario de un usuario en este post he podido solucionarlo: https://blog.sucuri.net/2016/02/massive-admedia-iframe-javascript-infection.html
Se basa en localizar los archivos javascript infectados con find
find . -name "*.js" | xargs grep -E "\/\*[a-z0-9]{32}\*\/" -l | sort
Añade con sed utilizando un patrón un comentario en la siguiente línea
find . -name "*.js" -exec sed -i "s/\/\*[a-z0-9]\{32\}\*\//\n&/g" '{}' \;
Y al final elimina el código malware o código malicioso en los archivos infectados javascript con la instrucción
find . -name "*.js" -exec sed -i "/[a-z0-9]\{32\}/,/[a-z0-9]\{32\}/d" '{}' \;
Una vez realizado esto si realizamos el chequeo con la primera instrucción no habrá ningun archivo infectado y por fín habremos limpiado el problema.