threatover Patrik Grobshäuser

PHARMA HACK · WORDPRESS · LIMPIADO

WordPress favicon malware removal.

Los atacantes disfrazan backdoors PHP de favicon porque nadie las mira. Encontramos las falsas, eliminamos la backdoor que las colocó y le contamos cómo entró. Tarifa única 279 $.

MECANISMO

Un favicon es solo una imagen. Hasta que deja de serlo.

El truco es simple: el atacante coloca un archivo llamado favicon.ico_bak, favicon_baddc6.ico o wp-favicon.php en sus directorios de WordPress. La mayoría parecen copias de seguridad normales. Algunos son en realidad PHP que el servidor ejecuta al llamarlos del modo correcto.

Los proveedores de hosting y los plugins de seguridad ignoran archivos que parecen imágenes, y por eso el atacante escoge ese disfraz. Listamos cada archivo similar a un favicon, lo comparamos con un WordPress limpio y confirmamos qué es realmente.

find — archivos favicon que no son favicons
01 find . -type f \( -name 'favicon*.ico*' \\
02     -o -name 'favicon*.php' \\
03     -o -name '*-favicon*' \)
04
05 // Anything outside the theme root, or any PHP file
06 // in the list, is a candidate for a backdoor.

What I remove

Cada lugar donde se esconde esta infección.

  • TRIAGE DE PLUGINS

    Cada archivo con nombre similar a favicon se lista e inspecciona — cabeceras de imagen, tamaño, fecha de última modificación.

  • ARCHIVOS

    Archivos favicon falsos eliminados. El PHP disfrazado de imagen se extrae antes de borrarlo para saber qué hacía.

  • BACKDOORS

    La backdoor que las colocó — normalmente en wp-content/uploads o mu-plugins — se encuentra y se elimina.

  • BASE DE DATOS

    wp_options y widgets activos revisados en busca de persistencia relacionada. Tareas programadas auditadas.

  • ENDURECIMIENTO

    Ejecución PHP desactivada en directorios de uploads. Permisos endurecidos para que el truco no se pueda repetir.

  • INFORME

    Informe forense en lenguaje claro, vector de entrada nombrado, qué cambiar antes de devolverle las llaves.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.