Saludos, se\u00f1ores de la guerra.<\/p>\n
Finalmente gracias a Isa\u00edas McAllus, que me ha recomendado Wordfence y me ha dicho que el archivo jquery ol\u00eda mal, he conseguido encontrar y arreglar el error.<\/p>\n
Respecto a las preguntas del post anterior:<\/p>\n
Respondiendo a @Dragus el troyano se mete en la p\u00e1gina web y lo que hace es ejecutar c\u00f3digo en el navegador que hace que se minen bitcoins, mientras est\u00e9 la p\u00e1gina abierta. Al cerrar el navegador o (en teor\u00eda) dejar la p\u00e1gina, se cierran los procesos, por lo que el troyano no infecta el equipo de los navegantes. Al menos en la variante que se encontraba en la web.<\/p>\n
Y para los que les interesen tem\u00e1s m\u00e1s t\u00e9cnicos…<\/p>\n
<\/p>\n
No s\u00e9 que vulnerabilidad habr\u00e1n utilizado los hackers (dios sabe que hay muchas) pero sospecho que han aprovechado el movimiento de servidor y la falta de navegaci\u00f3n segura durante el tiempo de traslado para realizar un cambio en el servidor.<\/p>\n
Concretamente han usado el archivo jquery.js para introducir dentro c\u00f3digo que cargaba las librer\u00edas de coinhive (un programa para minar criptomoneda en javascript) en el navegador y lanzaba cuatro workers que se pon\u00edan a minar.<\/p>\n
Dicho c\u00f3digo tampoco se lanzaba directamente. Se insertaba dentro de un objeto de blob de javascript con una url que enmascara su procedencia (por ejemplo https:\/\/cargad.com\/3453-were-23423) usando una p\u00e1gina web generada al azar cada vez. Esto hac\u00eda que al cargar un script desde el blob (que simula un archivo en javascript) pareciera que se estaba cargando como un recurso m\u00e1s de la p\u00e1gina.<\/p>\n
Adem\u00e1s el c\u00f3digo introducido en jquery se ejecutaba de forma indirecta, inyectando mediante el pr\u00f3pio jquery el c\u00f3digo. Y dicho c\u00f3digo estaba insertado meddiante arrays de car\u00e1cteres en formato utf ( \\u0043 para la C, por ejemplo), haciendo que sea a\u00fan m\u00e1s dif\u00edcil de detectar por un humano.<\/p>\n
Por lo dem\u00e1s poco que a\u00f1adir. S\u00f3lo decir que acostumbro a tener el servidor actualizado (ahora lo ten\u00eda), aunque s\u00ed que es cierto que varios plugins est\u00e1n abandonados por sus creadores y ya no tienen soporte ni actualizaciones.<\/p>\n
Siento las molestias por todo.<\/p>\n
Atentamente<\/p>\n
Pater Zeo<\/p>\n","protected":false},"excerpt":{"rendered":"
Saludos, se\u00f1ores de la guerra. Finalmente gracias a Isa\u00edas McAllus, que me ha recomendado Wordfence y me ha dicho que el archivo jquery ol\u00eda mal, he conseguido encontrar y arreglar el error. Respecto a las preguntas del post anterior: Respondiendo Seguir leyendo [Mensaje a los lectores] Troyanos con picos – The end<\/span>