Вирус в WP Wprdpress – Решен проблем

[hatre]

Вирусът ми беше премахнат благодарение на моя хостинг доставчик deyhost.com

Как разбрах къде е вируса:
В Google Web maser tools показва на кои страници и кой е кода на вируса
Моя код на вируса е в HEAD:

<script>try{n%=Math.round;}catch(zxc){e=eval;m=Math;n="1428..1755..1540..1485..1624. ....

Какво причини вируса:
Google показва, че сайта е злонамерен
Mozilla изписва червеното съобщение, че сайта има злонамерен софтуер
Avast показва че в сайта има вирус но не блокира връзката

Решение на проблема:
1 Във файла wp-config.php се премахват последните редове (ако ги има), които са написани от бота който е инжектирал вируса.

if(!function_exists(amt_cif)) { if(file_exists(ABSPATH.WPINC.'/eanlyypltyba.php')) { require_once (ABSPATH.WPINC.'/eanlyypltyba.php'); } }
if(!function_exists(amt_cif)) { if(file_exists(ABSPATH.WPINC.'/baldbbpevrlal.php')) { require_once (ABSPATH.WPINC.'/baldbbpevrlal.php'); } }
if(!function_exists(amt_cif)) { if(file_exists(ABSPATH.WPINC.'/jxbftkvm.php')) { require_once (ABSPATH.WPINC.'/jxbftkvm.php'); } }
if(!function_exists(amt_cif)) { if(file_exists(ABSPATH.WPINC.'/zhdngkjg.php')) { require_once (ABSPATH.WPINC.'/zhdngkjg.php'); } }

2 Изтриват се файловете, които са в по-годния код (eanlyypltyba.php', baldbbpevrlal.php' ). Възможно имената им да не са същите, а да са генерирани, за да бъдат всеки път различни.

3 Във файловете на темите wp-content\themes\adventure\името на темата – header.php се изтрива кода:

#c3284d#
echo(gzinflate(base64_decode("1VpLc9tGDP4t1UxnpHos75L74ijsJ..
#/c3284d#

Кода е дълъг 2 километра и няма как да не го забележите.

4 Моя файл wp-config.php беше с права за достъп 667, а те трябва да са 644.

Как да се предпазим от такива вируси
WP генерира meta таг

<meta name="generator" content="WordPress х.х.х" />

по който ботовете които инжектират вируса се ориентират дали платформата е WP. Може би има и други начини по които разпознават платформата като (wp-content...). За да се премахне meta тага за се поставя

remove_action('wp_head', 'wp_generator');

най-горе на файла functions.php на темата.

 

[KISS]

От: Вирус в WP Wprdpress – Решен проблем

Ако беше направил това щеше да си ок .

 

[hatre]

От: Вирус в WP Wprdpress – Решен проблем

Това което написах по-горе не ми оправи положението, даже и след като използвах защитите които са в темата, посочена от KISS. Дори преинсталирах целия WP и пак се появяваше и след 2 часа пак се появи.
Вируса ми беше, този код:
#c3284d#
echo(gzinflate(base64_decode("1VpLc9s2EP4t1UmqxzIA4sVR.....
#/c3284d#
И когато се отвори сайта се зарежда фалшива антивирусна програма Live security platinum. В нета пишеше, е че този код се добавя в php, js и html файлове в зависимост от платформата, като винаги кода е заобиколен с коментара #c3284d#. Това което ми оправи положението за сега е че си преинсталирах Win XP и промених паролата за FTP и другите паролите за домейна (след преинсталация). Оказа се че съм имал троянец, който ми е крадял паролата за FTP и така постоянно бота е инжектирал кода. Вече около 20 дена няма вирус, но пък на друг сайт, който имаше същия проблем и му махнах пак така вируса, пак се появи кода. За това вече нямам обяснения, освен, че ако първия път вируса е заразил няколко файла, за които не знам, сега продължава да вършее.
Ако имате проблема #c3284d# навсякъде в нета пише – сменяхте всички пароли, най-вече на FTP, преинсталирайте XP да махнете гадния троянец и може да ползвате Malwarebytes, на мен ми хвана много троянци.

 

[mobilio]

От: Вирус в WP Wprdpress – Решен проблем

Ако използвате FileZilla да имате на предвид, че паролите се записват в ЧИСТ и НЕКРИПТИРАН файл на диска, заедно с потребителските имена и настройките на сайтовете.

Всеки уважаващ себе си троянец може да ги изпрати към някакъв сървър за секунди.

 

[KISS]

От: Вирус в WP Wprdpress – Решен проблем

Слагай това и си свиркай . Много е добра и удобна. А и цената е супер. Защитна стена, антиспайуеър, антивирус и всичкото там дето ти трябва в едно.

 

[hatre]

От: Вирус в WP Wprdpress – Решен проблем

Аз чух че това са FileZilla за паролите е било преди няколко години, но сега са го оправили. Но не се знае сега пък какво други дупки има. Аз преди пробвах нортан, но никакви вируси не намираше за разлика от Avast 4.8 с код и Malwarebytes. Помня че ми сканира C за 10 минути :lol: и вече съм много скептичен към него. Чудя се ако си сложа виртулен XP дали вирусите от моя ще отидат при него? Защото казват, че работил като отдела система и винаги ще е чист, а ще мога да си пускам в него каквото си искам.

 

[KISS]

От: Вирус в WP Wprdpress – Решен проблем

Нортона е в друга лига спрямо аваста и в тестовете винаги е на първо или 2-ро място по брой хванати вируси. Преди проблема беше, че е доста тежка, но сега и това доста го подобриха. Но както искаш, аз само препоръчвам.