Hace unos meses encontramos malware en nuestros sitios web. Pudimos rastrearlo se inyectó con PowerShell. Encontramos los archivos corruptos y los eliminamos. También eliminamos a todos los usuarios administrativos, excepto a dos personas y nos aseguramos de que nuestros complementos se actualizaran.
Ahora nos estamos encontrando con este problema nuevamente. Incluso si eliminamos el archivo, reaparece en otro archivo.
Por lo que podemos reunir, el malware no aparece para todos. Es inconsistente. Puede aparecer justo al ingresar al sitio o después de navegar algunas páginas.
Una vez que aparece, proporciona una captcha y luego les pide a los usuarios que tomen medidas adicionales para «verificación adicional».
Los sitios en los que está activo es:
nobu.ai
https://www.columbusrecoverycenter.com/
Aquí hay una captura de pantalla de la pantalla de malware: https://prnt.sc/_lxsdieflk1f
¿Podemos obtener ayuda para averiguar de dónde viene esto y qué hacer?
Acciones que hemos tomado hasta ahora:
– eliminó a todos los usuarios de los sitios
– Usuarios de FTP eliminados
– Agregado 2FA
– escaneado con Wordfence (nada encontrado)
– contactó a Wpengine, que contactó a Securri (nada encontrado)
La página con la que necesito ayuda con: [log in to see the link]