Cómo limpiar un sitio en WordPress infectado

Así se ve un archivo infectado de WordPress

Hola gente! Hace un año que no escribo nada. Voy a utilizar este evento cósmico de excusa para revivir el blog, o al menos intentarlo. ¿Alguien aún lee blogs?

Se me ocurrió el tema del título porque es una pregunta que veo constantemente en foros, grupos de Facebook, Quora y conversaciones en bares… bueno no, esto último no, al menos no los que yo frecuento.

Como todos saben WordPress es el CMS mas utilizado en el mundo y por este tema es un target tentador para cualquier ataque automatizado. Cuando te infectan un WordPress en general, el 99% de las veces, no es algo personal contra vos y tu sitio. Son ataques de fuerza bruta o escaneos en busca de vulnerabilidades. Cuando encuentran una versión de WP, theme o plugin con una vulnerabilidad conocida atacan, infectan y hacen lo suyo. No pienses que es culpa de tu hosting, salvo raras excepciones, no lo es.

Todo lo que les voy a contar es experiencia propia. Como soy parte de una empresa de Hosting he tenido que hacer esto infinidad de veces desde que existe WordPress. (bueno, en realidad desde que salió PhpNuke je)

Hay otras formas de hacerlo, mucho de lo que acá les cuento lo hago por consola por ejemplo. En este caso voy a tratar de explicarlo para que lo pueda hacer cualquier vía FTP.

Ok, vamos al grano

Para realizar todas las taréas tenes que tener algo de conocimientos básicos sobre desarrollo web o al menos haber instalado WordPress a mano. Si sos el usuario final de un WordPress que solo entra a publicar cosas mejor consultá con quién te realizó la web. Estos pasos son genéricos y curan casi todas las infecciones. Demás está decir que por las dudas de que hagas mierda todo mas de lo que está hagas un buen backup.

Cambiar la contraseña de tu panel de control y/o FTP

Este es un gran «por las dudas» o «mas vale prevenir», existe una posibilidad de que el hack haya sido por una clave insegura o filtrada. Ante la duda lo mejor es cambiar la clave del panel de control que te brinde tu hosting y si tenes cuentas de FTP adicionales también cambiales la clave.

Desactivá el acceso público a la web

Si tu web lleva varios días infectada es probable que Google ya haya marcado como peligroso tu sitio. Hay que decirle a Google desde la Search Console que tu sitio ya no está infectado. Como esto tarda es bueno que sea lo primero que hagas, para ello necesitas limpiar el sitio y como eso puede demorar vamos a evitar que se pueda ver. Lo que debes hacer es eliminar el index.php y el archivo .htaccess (crea una copia de este si tiene algo mas que lo que mete WordPress) de la raiz de tu sitio y crear un index.html o index.php en blanco. Si te das maña podes hacer un html con los dátos básicos de contacto de la web infectada para que un eventual visitante no vea la página en blanco. Una vez hecho todo esto ya le podes pedir a Google que vuelva a revisar tu sitio en busca de malware.

Elimina todos los archivos de WordPress excepto wp-content

Esto lo podes hacer utilizando FTP pero es lento porque son muchos archivos chiquitos. Lo ideal es hacerlo desde el panel de control de tu hosting si te dan un administrador de archivos. Elimina todos los archivos de la raiz y los directorios wp-admin y wp-includes. Con esto nos cargamos cualquier infectado que haya habido en esas carpetas.

Limpieza de wp-content

Este es el único directorio que conservamos porque tiene los archivos que no son genéricos de cualquier instalación. Themes, plugins, modificaciones, archivos subidos, etc. Los últimos hackeos que vi son ultra virulentos por lo que podes tener archivos desconocidos con malware, archivos conocidos con malware inyectado, incluso hasta archivos que simulan ser imágenes con malware infectado. Revisá que en la raiz de wp-content no tengas ningún archivo desconocido y mira dentro de los conocidos que no haya nada extraño. Normalmente solo deberías tener un index.php con un comentario.

Es el turno de /plugins. Toma nota de todos los plugins instalados, y bajalos del repositorio de WordPress uno por uno. En tu escritorio hacete una nueva carpeta /plugins y descomprimi todos los archivos que bajaste ahí dentro. Luego solo te queda eliminar /plugins la del sitio infectado y subir la nueva de tu escritorio.

Ahora vamos con la carpeta /themes. Si el theme que estas usando es del repositorio o comprado y no tiene modificaciones caseras tenes volverlo a descargar y reemplazarlo integramente, como hicimos con los plugins. Si lo modificaste sin usar un child entonces tenes que mirar uno por uno los archivos para ver que dentro no haya malware. Es bastante obvio cuando están infectados aunque no sepas mucho de PHP.

Si tenes un child, que es lo mas correcto cuando modificas el theme original, tambien debes revisar todos tus archivos a mano en busca del bicho.

Si tenes themes que no estas usando es un buen momento para borrarlos, tenerlos ahí es un riesgo innecesario.

Por último solo nos queda la carpeta /uploads, dependiendo de la cantidad de contenidos del sitio puede ser mas o menos tedioso. El trabajo a realizar aquí es ir entrando uno por uno en todos los años y meses buscando archivos que no corresponden. Normalmente algún php entre muchas imágenes. Puede ser útil ordenar por fecha y/o por extensión los archivos dentro de cada carpeta para detectar rápidamente.

Por último, si tenes un buen hosting, como Bee por ejemplo, cof cof… dentro del cPanel vas a encontrar un scanner de malware. Correlo para ver si detecta algún archivo infectado que se te haya pasado por alto.

Algunos ajustes sobre la base de datos

Este paso también es un «por si las dudas». Primero vamos a ingresar al panel de nuestro hosting y cambiamos la clave del usuario de la base de datos. No la pierdas! Si estás canchero con phpmyadmin otra cosa que podés hacer es ver si en la tabla de usuarios no aparece algun invitado desconocido. Si hay, borralo.

Puesta en marcha

Este es el paso mas «placentero» para mi, es el momento de volver a poner en marcha todo el quilombo que hicimos mas arriba. Lo primero es descargar la última versión de WordPress. Si no te da confianza un upgrade de golpe podes buscar en el repo la versión anterior de WordPress que hayas tenido en la web.

Descomprimí el archivo descargado en tu escritorio y eliminá la carpeta wp-content. No la vamos a necesitar. Renombrá el archivo wp-config-sample.php a wp-config.php y completá los datos de la base de datos, no olvides que cambiaste la clave. Usa el link que viene en el archivo para generar unas llaves salt nuevas y pegalas. Por último si tus tablas tenían un prefijo distinto al estandard no olvides cambiarlo ya que si no lo haces cuando quieras ver tu sitio va a querer instalar un nuevo WordPress.

Una vez terminado con el wp-config.php es momento de subir todos los los archivos al hosting. Al finalizar si todo salió bien deberías poder ingresar a tu /wp-admin.

Últimos pasos

Una vez dentro de backend de WordPress lo primero que debes hacer es cambiar la clave a TODOS los usuarios con permisos de administrador, editor y autor. Pone la clave mas cojuda que puedas, la mejor clave es la que no te podes acordar. Utilizá un gestor de contraseñas como LastPass.

Revisa todas las entradas y páginas para que no haya cosas raras. En varias ocasiones me he encontrado con páginas o posteos intervenidos con links a sitios de venta de medicamentos y otras bizarreadas. Todo lo que no sea el contenido habitual de tu web volalo a la mierda. Si quedó algún plugin que pide actualización, hacela.

Ya deberíamos contar con un sitio limpio. Vas a tener que controlarlo de cerca unas semanas, ya que si quedó algún chobi se puede volver a infectar. A veces puede pasar por ejemplo que tengas algún plugín o theme desactualizado y no soportado, por más que pongas uno no infectado este podría tener vulnerabilidades conocidas y volver a infectarse. Si es el caso, googlea acerca de ese plugin o theme y trata de arreglarlo y/o reemplazarlo.

The end

Espero les haya sido de utilidad este post, la verdad que me tomó un buen tiempo escribirlo. Si tienen alguna consulta, usen los comentarios, trataré de responderlas en tiempo y forma.

Me pegó la onda retro nerd

Hola gente, como habrán notado algunos que aún leían este blog ocasionalmente me está pegando la onda retro. Pero no cualquier onda retro sino mas bien techie. Me parece una buena idea escribir de esto en el primer post en casi dos años.

La culpa de todo esto lo tiene el haber cumplido 40 años hace unos meses, como ya tengo moto me pegó por la nostalgia computacional. La cuestión es que comencé a tantear conocidos y recorrer cuevas en busca de dispositivos viejos y obsoletos que ya nadie quiere para volver a armar las computadoras que utilizaba en mi infancia y adolescencia. Fue una época con muy lindos recuerdos. Les dejo a continuación algunas imágenes de lo que les estoy hablando. Pronto mas publicaciones al respecto…

Google PhotoScan Escanear fotos con el smartphone.

Hola! Como andan tanto tiempo? Google acaba de publicar una nueva app para escanear fotos con el smartphone llamada Google PhotoScan. Si bien no es mejor que un buen scanner es mucho mejor que una foto sacada con el celular sin la app.

Es muy ingenioso como trabaja para corregir brillos, distorsiones y demases. Cuando comenzas el escaneo se hacen 5 fotos en total, la misma app te va indicando donde sacar la foto como si de una panorámica se tratase.

Miren que buenos resultados, aqui les dejo una vieja foto mia con y sin la Google PhotoScan. Te dejo el link para Android y iOS.

Sin PhotoScan
yo-foto-normal

Con PhotoScan
yo-con-google-photoscan

Hace unas semanas revolviendo papeles encontré unas impresiones con gráficos de torta y barras donde ilustraba mi edad (9 años), la de mis hermanos y la de mis padres. Mi viejo tenía 37 años cuando hice la impresión, un año menos que mi edad actual. Eso fue muy fuerte para mi. Recuerdo cómo a esa edad yo veía a mis viejos, lo grandes que me parecían y no pude evitar pensar lo del título. Ya soy viejo como mi viejo. Lo positivo es que no me siento viejo.

La foto antigua de Mar del Plata la saqué de Pasqualinonet

 

Las muertes por Superman no son ninguna novedad

Desde hace unos días la noticia de unos jóvenes muertos por consumir una pastilla llamada «Superman» en una fiesta en Costa Salguero esta en boca de todos en Argentina. Me llamó la atención cómo pueden morir de forma fulminante con unas pastillas así que me puse a investigar un poco sobre el tema. 

En el resto del mundo hace raro que se están muriendo pibes por consumir Superman. Parece que ser que la creación de esta droga fatal es el resultado de la lucha contra las drogas (totalmente a favor de los narcos si quieren saber mi opinion).

Todo se origina con el éxtasis (MDMA), que es la droga que creen que compran los que están consumiendo Superman. Debido a las restricciones internacionales para evitar que se fabrique MDMA se bloquea el tráfico de muchos precursores necesarios para crear la droga, entre ellos uno llamado «safrole».

Los químicos encontraron una alternativa al «safrole» en el Aceite de anís. (les suena Breaking Bad?) El problema es que el resultado final no es MDMA, sino algo 10 veces mas potente y tóxico llamado PMA o PMMA. Otro problema además de la toxicidad es que esta nueva droga demora mucho mas en hacer efecto entonces los pibes a los 10 minutos de tomar lo que ellos creen que es Extasis piensan que los cagaron con un lote flojo o trucho y consumen mas cantidad. Para cuando comienza a hacer efecto ya es tarde, se eleva la temperatura corporal y caput.

Espero que algún día se terminen estas prohibiciones pelotudas y los que deseen empastillarse puedan hacerlo legalmente, comprando sustancias elaboradas y testeadas profesionalmente y sin engaños.

Telegram viene con todo

telegram_logoSoy usuario de Telegram desde hace dos años aproximadamente y vengo observando cómo mis contactos van mutando desde solo amigos nerds a familiares y conocidos. Poco a poco más usuarios se van dando cuenta de que a WhatsApp que si bien fue genial en un principio comienza a quedar obsoleto.

Creo que un punto de quiebre en la base de usuarios va a ser que el Vaticano comienza a utilizarlo para transmitir mensajes por esta red. A pesar de que poco me interesa la religión estimo que una buena cantidad de fieles se sumaran a este cliente de mensajería en los próximos meses, atrayendo familiares y amigos.

Telegram nació como competidor de WhatsApp pero hoy en día lo supera en features muy pero muy ampliamente. Que tiene de distinto con WhatsApp? Les voy a contar sólo algunas de las mejoras porque la verdad es que tiene más.

Mensajería:

telegram screenLo mejor que tiene es la seguridad, permite entablar conversaciones seguras y encriptadas entre dos o mas personas. Entre otras opciones se puede hacer que los mensajes se auto-destruyan luego de ser leídos con un tiempo configurable, por ejemplo a los 30 segundos. Una de las últimas genialidades es un buscador de gif animados dentro de la misma aplicación.

Grupos:

A diferencia de WhatsApp tiene más funciones para administradores, restringir accesos, links públicos para que se sume gente, se puede responder a una conversación citando un mensaje y lo mejor permite mencionar a un integrante del grupo con @ para que se entere que le hablan a el. Los grupos de Telegram pueden ser de hasta 1000 miembros.

Todas las imagenes, videos y documentos enviados en el grupo quedan en la nube de telegram y se pueden acceder a ellos nuevamente en cualquier momento.

Los grupos tienen buscador, se puede buscar algo dentro del chat grupal.

Canales o Channels:

Esto no lo tiene whatsapp, se usan como los grupos pero solo el dueño del canal puede publicar. La comunicación es unidireccional. Ideal para empresas que necesitan contar algo. Por ejemplo durante las elecciones presidenciales yo seguí el channel de un medio donde me notificaba al instante cualquier noticia importante. Hay muchos canales actualmente de empresas, medios y particulares siendo muy populares los canales de humor.

Creo que a Telegram no le quedan muchas opciones actualmente, o estalla en usuarios y se convierte en el rey de la mensajería o se lo compra alguna empresa de tecnología para incorporar sus mejoras a otros servicios. Yo espero que sea lo primero.

Si aún no usas Telegram que estás esperando? Está disponible para Android, iPhone, Windows Phone, Web y aplicaciones nativas para Mac, Windows y Linux.

Ideas para hacer una protesta exitosa

Aclaración: Esta es mi opinión cómo un simple observador de la problemática, no tengo experiencias en marchas, reclamos callejeros o militancia de ningún tipo. Tampoco he leído mas que el título de la propuesta Macrista del protocolo para protestas sociales.

Desde hace algunos años vengo observando los distintos reclamos, marchas y movilizaciones que se hacen en Mar del Plata y otros puntos del país. En general todos coinciden en un bloqueo total del tránsito generando malestar y puteadas varias de los automovilistas.

A mi parecer una demostración que bloquea el tránsito no sirve para absolutamente nada, sólo lo ven los incautos que no llegaron a desviarse a tiempo. Toda la gente que transita cerca de una manifestación se desvía una o dos cuadras antes y esas personas no llevan siquiera a enterarse porqué motivo se están manifestando porque no ven los carteles y solo escuchan bombas de estruendo. Además en el caso de que uno se entere el motivo, lo que menos genera el corte es una empatía como para tratar de solidarizarse con los manifestantes.

Yo propongo un no al bloqueo total del tránsito. Si en una manifestación o marcha se deja un corredor para que los vehículos circulen creo que la difusión de la protesta sería muchos mas efectiva. Todos los que pasan podrían ver los carteles y escuchar comentarios de los manifestantes, incluso estos podrían repartir volantes.

Otra forma de manifestar puede ser que haya numerosos grupos de personas repartidas en todas las esquinas del centro y en cada cambio de semáforo se paren delante de los coches mostrando sus carteles y repartiendo volantes.

Sin mas que aportar espero que se arme un lindo debate con los pros y contras de mi propuesta.

Problemas de batería y conectividad con Moto X 2014 y Lollipop? La solución.

Hace poco mas de una semana le llegó la actualización a Android 5.1 Lollipop a mi Moto X 2014. Estaba muy ansioso por actualizar pero después de que llegó no lo quería ver más. La batería me duraba menos que un pedo en una canasta y perdía la conexión con Claro cada 30 minutos, de datos y llamadas. Sólo volvía si reiniciaba el teléfono. Con mucha paciencia y poca ayuda de Claro fui encontrando la solución a estos dos problemas.

Batería: Después de actualizar mi Moto X 2014 a Android 5.1 la batería me dura poco.

Este problema no lo tienen todos y viendo por donde viene la cosa no es raro. El problema parece originarse en las personas que vienen de 4.4.4, actualizan a 5.1 y no restauran el teléfono o al restaurarlo se traen toda la configuración desde el backup en Google de la 4.4.4. Lamentablemente hay algo que trae esta configuración que deja al Moto X 2014 con Lollipop muy mal parado en cuanto a duración de batería.

La solución que encontré es muy sencilla, pero ojo, pierdes toda la información del teléfono no olvides hacer backup de lo que te importa. Lo primero que hay que hacer es decirle al teléfono que no guarde ni recupere información de las aplicaciones.

  1. Copiar mis datosIr a configuración
  2. Ir a copia de seguridad y restablecer
  3. Desactivar «Copiar mis datos¨

Luego de hacer esto hay que restaurar los valores de fábrica del teléfono. Sigan estos pasos asegurándose que tienen mas del 70% de batería por precaución:

  1. Ir a Configuración
  2. Ir a Copia de seguridad y restablecer
  3. Seleccionar Configuración de fábrica
  4. Restablecer dispositivo (luego de acá no hay vuelta atrás)

Una vez que el teléfono les da la bienvenida de fábrica vuelven a empezar de cero, mucho cuidado si les pide restaurar alguna información de aplicaciones de la instalación anterior, rechacen todo. Finalmente luego de que terminan de configurar el teléfono úsenlo normalmente, van a notar que la batería sigue durando poco al principio pero en cuestión de varios días dependiendo del uso van a notar que la batería dura cada vez mas y mas hasta que se estabiliza en un punto que dura igual o mas que con Android 4.4.4.

 

Señal: Mi Moto X 2014 muestra un signo de admiración en la señal de la red móvil o en la señal de WIFI.

El mayor problema acá no es el signo de admiración o exclamación que aparece, sino que el teléfono pierde total conexión con la red móvil dejándonos sin Internet ni llamadas. Lo único que devuelve la conectividad es apagar y prender el teléfono con las molestias que eso implica. Ni siquiera funciona el clásico poner y sacar el modo avión, hacer esto puede generar que el teléfono se cuelgue completamente. A veces me ha pasado que el solo hecho de apagar WIFI haga que el teléfono no responda.

Por los comentarios en foros y redes sociales este problema parece afectar solamente a usuarios de Claro. Yo llamé al *611 y me pidieron que les lleve el equipo a reparación, no me gustó la idea así que decidí investigar y meter mano.

Una de las soluciones que encontré en la red consistía en borrar algunas configuraciones y con el teléfono prendido sacar y volver a poner el Chip GSM, esa no me dio resultados. La solución mas potable que vi consistía en bajar el firmware completo de la versión brasilera, ponerle el módem de la versión 4.4.4 (que funcionaba sin ningún problema) y volver a cargar el firmware poniendo nuevamente a cero el teléfono. Esta es la mejor opción pero la verdad no tenía ganas de reinstalar TODO nuevamente. **IMPORTANTE** Esta solución hace que Netflix no abra, aún no pude encontrar la solución a eso así que deben poner en balanza mejor conectividad vs Netflix.

Lo que hice fue tomar esa idea y sólo cambiar el módem del teléfono. El módem (también llamado baseband o banda base) es el que se encarga de gestionar la WIFI, la red movil y el bluetooth del dispositivo. Para hacer esto van a necesitar descargar algunas cosas.

1. Los drivers de Motorola

2. Las Platform Tools + el modem de la versión 4.4.4 (les puse todo dentro del mismo zip)

Depuración USBAhora viene lo importante. Si no están familiarizados con esto no se manden, pidan ayuda a algún amigo que sepa porque pueden dejar el teléfono como un hermoso pisapapeles. 

Lo primero que deben hacer es habilitar el modo depuración USB en el teléfono. Para hacerlo tienen que seguir estos pasos:

  1. Ir a Configuración
  2. Ir a Programador. Si no tienen la opción vayan primero a Acerca del Teléfono y toquen 7 veces donde dice Número de Compilación.
  3. Activar Depuración por USB

Instalen los drivers de Motorola, luego apaguen el teléfono. El siguiente paso es poner el teléfono en modo fastboot, para eso con el telefono apagado (y sin estar enchufado) presionen el botón de encendido y el volumen abajo al mismo tiempo por unos 5 segundos. Cuando sueltan ya estan en modo fastboot.

Ahora es el momento de enchufar el teléfono a la computadora por medio de un cable USB. Dejen que windows instale todos los drivers. Descompriman en una carpeta las Platform Tools con el modem. Yo recomendo hacerlo en la raíz del c:\.

Una vez hecho esto abren una ventana de Símbolo de Sistema y van a la carpeta donde descomprimieron las Platform Tools. Todo lo que resta es correr estos cuatro comandos.

  1. c:\platform-tools\fastboot flash modem NON-HLOS.bin
  2. c:\platform-tools\fastboot erase modemst1
  3. c:\platform-tools\fastboot erase modemst2
  4. c:\platform-tools\fastboot reboot

flasheando banda base

Listo, ahora a disfrutar de la conectividad cómo debe ser. Espero que les haya servido esto, yo he perdido mucho tiempo tratando de solucionar estos dos problemas con el querido Moto x.

 

 

¿Queda alguien en Argentina sin que le hayan robado?

Ni las mascotas se salvan de los chorros

Hace unos días mi nena mas grande (6 años) con lagrimas en sus ojos me decía esto desde el asiento de atrás del auto.

Papá, extraño la moto y me pone muy triste. A los ladrones les tendrían que robar así ven lo que se siente y no roban mas. La policía sabe donde se esconden?

Esa moto le gustaba mucho a ella porque cada tanto la llevaba a pasear por el barrio. Me la robaron la noche del sábado que dimos la última vuelta.

Yo me quedé pensando, pobre nena ya tiene su primer «sensación de inseguridad», y mi otra nena de casi 2 años, aunque aun inconsciente de ello, también. Inmediatamente comencé a hacer un recuento mental de los hechos de inseguridad que he vivido durante mis 37 años. Por suerte puedo decir que no me lastimaron y puedo escribir hoy este blog, muchos no pueden hacer lo mismo.

Robos directos o muy cercanos durante lo que va de mi vida.

  • 7-8 años. A la vuelta de mi casa, en Pampa entre 3 de Febrero y 9 de Julio me roban la bicicleta junto a la de mi amigo Maxi.  Fue un pibe mucho mas grande con una cortapluma o navaja.
  • 9 años. A mis viejos les roban un Ciclomotor en la cochera del edificio donde vivíamos.
  • 12 años. Entran a robar a la cochera del mismo edificio y mi viejo y otros vecinos se tirotean con los chorros. No se llevan nada.
  • 23 años. Primer auto, me compro un cuentavueltas de $350 dólares en 6 cuotas. Antes de pagar la primer cuota me rompen el vidrio del auto en 5 minitos que bajé a buscar algo en Catamarca y Falucho y me lo roban.
  • 26 años. Me rompen la ventana de un Clio Williams que dormía en calle, roban de la guantera CD’s y la recaudación de mi Cybercafé que me la había olvidado de sacar por la noche.
  • 26 años. Al otro día vuelven por el Williams, me doblan el parante de la puerta y me roban el stereo.
  • 30 años. A mis viejos le roban un Duna en la puerta de su casa.
  • 33 años. A mis viejos les rompen una reja y les roban dos bicicletas.
  • 34 años. Le desvalijan la casa a un amigo cercano. Estaba de viaje velando a un pariente. Lo obligan a mudarse de barrio.
  • 37 años. Me roban la moto de la que habla mi nena rompiendo la reja de mi casa.
  • 37 años. En menos de 30 días unos malvivientes me sorprenden pateando la puerta de mi oficina y me la saquean llevandose cosas personales, la compu de un amigo y muchas cosas del trabajo. En esa ocasión también robaron la oficina de al lado.
  • 37 años. Menos de una semana después del robo anterior, a mi amigo que me robaron la compu le abrieron la camionera y le robaron el stereo y documentación.

Ahora les pregunto a ustedes, sufrieron muchos robos desde que nacieron? Existe alguien en Argentina que no haya sufrido robos? Si me baso en mi propia experiencia diría que estamos para la mierda pero dicen que no hay que mirarse el ombligo.