- Автор темы
- #1
Здравствуйте! Хотел бы поделиться довольно полезной информацией о решении проблемы, над которой потратил не один десяток минут, чтобы решить, и даже часов поначалу.
Сегодня речь пойдет о том, как удалить один из самых неприятных вирусов WordPress, который встречается очень часто. Неприятен он тем в первую очередь, что незаметен, а приносит немало хлопот. Особенно - если вы фрилансер и поставили зараженный плагин на сайт заказчику. - Возмущений будет много, однозначно.
В интернете очень мало информации конкретной о нем, по этому давайте разберем, что к чему и как выглядит "в целом" этот вирус.
VCD - Вирус WordPress'а
Как называется он вопрос, я его так называю из-за наличия соответствующей строки и названия вредоностных файлов, что он создает.
Давайте рассмотрим, как работает вирус, как от него уберечь себя и самое главное - как излечить зараженный плагин (По излечению плагинов в интернете информации вообще не нашел, к этому пришел я сам и хочу поделиться.
Начнем.
Что делает вирус VCD для WordPress ?
Сделать это не так сложно, как могло бы представиться. В первую очередь откройте файл functions.php вашей темы и поднимитесь в самый верх.
Если Вы увидите что-то подобное, как на приведенном ниже скриншоте, то "поздравляю" с заражением движка этой бякой.
Не отчаиваемся. Читаем дальше.
Если вы увидели этот код - WordPress заражен, а теперь его нужно излечить.
Как удалить вирус VCD с WordPress?
Все довольно не сложно. Для начала - запомните - не переходите на сам сайт. Если wordpress заражен, то каждое обновление страницы он будет возобновлять весь вредоносный код и придется заново все начинать. Так, что - на сайт не заходим.
Что же.
Чуть позже я добавлю информацию о том, как излечить плагин, зараженный этим вирусом и как распознать, что плагин заражен.
Если у Вас возникли вопросы, то спрашивайте, я буду рад Вам помочь в их решении.
Подобную информацию я не смог найти в интернете, все что дописано далее - исключительно мои наблюдения, специально для Nulled.CC
В целях, того, чтобы не делать статью очень длинной, инструкцию прячу в спойлер.
Сегодня речь пойдет о том, как удалить один из самых неприятных вирусов WordPress, который встречается очень часто. Неприятен он тем в первую очередь, что незаметен, а приносит немало хлопот. Особенно - если вы фрилансер и поставили зараженный плагин на сайт заказчику. - Возмущений будет много, однозначно.
В интернете очень мало информации конкретной о нем, по этому давайте разберем, что к чему и как выглядит "в целом" этот вирус.
VCD - Вирус WordPress'а
Как называется он вопрос, я его так называю из-за наличия соответствующей строки и названия вредоностных файлов, что он создает.
Давайте рассмотрим, как работает вирус, как от него уберечь себя и самое главное - как излечить зараженный плагин (По излечению плагинов в интернете информации вообще не нашел, к этому пришел я сам и хочу поделиться.
Начнем.
Что делает вирус VCD для WordPress ?
- Вирус незаметно создает вредоносные файлы в wp-includes и файлах functions.php во всех темах, что есть (Не только в активной!)
- Вирус в первую очередь работает на мобильных устройствах и чаще всего под управлением Android - по этому он столь незаметный на первый взгляд. Он при переходе на сайт с мобильного - перебрасывает на вредоносные сайты или просто на реферальные ссылки Aliexpress и подобных.
Сделать это не так сложно, как могло бы представиться. В первую очередь откройте файл functions.php вашей темы и поднимитесь в самый верх.
Если Вы увидите что-то подобное, как на приведенном ниже скриншоте, то "поздравляю" с заражением движка этой бякой.
Не отчаиваемся. Читаем дальше.
Если вы увидели этот код - WordPress заражен, а теперь его нужно излечить.
Как удалить вирус VCD с WordPress?
Все довольно не сложно. Для начала - запомните - не переходите на сам сайт. Если wordpress заражен, то каждое обновление страницы он будет возобновлять весь вредоносный код и придется заново все начинать. Так, что - на сайт не заходим.
Что же.
- Первым делом удалите из тем в файле functions.php этот код. Найти очень просто его конец: Он начинается с php тега <?php и заканчивается стандартно ?>, после чего как раз и начинается наш fucntions.php, который был до заражения. А начинается он тоже с тега <?php . Таким образом просто после начала этого кода вредоносного ищем место где заканчивается и начинается новый тег PHP, выглядит это так: ?><?php. Удаляем по эту строку. Повторюсь, в КАЖДОМ файле functions.php ВСЕХ тем, а не только той, что активна.
- Теперь переходим в wp-includes и листаем в самый низ. Нам нужно найти файлы wp-vcd.php и wp-cd.php, если у Вас есть файлы в этой же зоне с "tmp", то тоже удалите!
- Теперь в wp-includes переходим в файл post.php и в самом вверху у нас будет красоваться вирусный текст "
PHP:
<?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?>
Чуть позже я добавлю информацию о том, как излечить плагин, зараженный этим вирусом и как распознать, что плагин заражен.
Если у Вас возникли вопросы, то спрашивайте, я буду рад Вам помочь в их решении.
UPD 08.11.2018
Добавляю инструкцию о том, как распознать, что плагин заражен и самое главное - как излечить плагин.
Подобную информацию я не смог найти в интернете, все что дописано далее - исключительно мои наблюдения, специально для Nulled.CC
В целях, того, чтобы не делать статью очень длинной, инструкцию прячу в спойлер.
Как распознать, что плагин заражен?
Самый проверенный способ - все еще имеет свою актуальность. Конечно же это VirusTotal. Но учтите, что формально - VCD вирус для WordPress вовсе не стандартный вирус, к которым мы все привыкли. По этому даже не пытайтесь поймать его любой версией "Avast", из известных антивирусов - его ловит Касперский под угрозой "Backdoor.PHP.Agent.adl".
Ради спортивного интереса я проанализировал зараженный плагин с помощью VirusTotal, и вот этот самый отчет:
Для просмотра ссылки Войдиили Зарегистрируйся
Результат не велик. 15/58 антивирусов распознают в нем угрозу. Но давайте пойдем дальше и узнаем, где эта самая "угроза".
Как распознать зараженный плагин без VirusTotal
Мой подопытный кролик - плагин "YITH Woocommerce Customize Myaccount Page". Учтите, по моим наблюдениям - продукты nulled от YITH рекордсмены по вирусу VCD. Будьте вдвойне внимательны, когда устанавливайте их. Проверяйте их с помощью VirusTotal.
Но, что делать если VirusTotal лень открывать и хочется самому во всем разобраться?
Я тоже люблю сам во всем разбираться, по этому расскажу, как это сделать. И так:
Как вылечить зараженный плагин? (без лишних слов)
Для этого давайте проведем повторный тест. Заливаю этот плагин, после проделанных манипуляций снова в VirusTotal.
Для просмотра ссылки Войдиили Зарегистрируйся
1/56 - Что же. Это победа над VCD.
Но учтите - Nulled плагины с подозрительных источников могут нейти за собой не только VCD-вирус, а другие - банальные скрипты с вредоносным кодом, с помощью которых можно подхватить даже на свой компьютер много "экскрементов".
Так, что будьте внимательны - и старайтесь проверять каждый nulled плагин с помощью VirusTotal.
Спасибо, за внимание.
Что важно знать о зараженных плагинах
- я прикрепляю ссылку на него. ВНИМАНИЕ: НЕ УСТАНАВЛИВАЙТЕ ЕГО В ВАШ WORDPRESS, В ПРОТИВНОМ СЛУЧАЕ ВЫ ЗАРАЗИТЕ СВОЙ ДВИЖОК.
Используйте зараженный плагин исключительно для того, чтобы наглядно убедится где скрывается VCD-ВИРУС WORDPRESS.
Угрозы для самого ПК - вирус не несет, т.к. является PHP ВИРУСОМ и без обработчика php заработать не сможет (Обработчики - это локальный Denwer или сам сервер).
По этому повторюсь, ПРОСТО НЕ УСТАНАВЛИВАЙТЕ ЕГО В WODPRESS.
Далее ссылка на ЗАРАЖЕННЫЙ VCD-ВИРУСОМ ФАЙЛ
Для просмотра ссылки Войдиили Зарегистрируйся
Самый проверенный способ - все еще имеет свою актуальность. Конечно же это VirusTotal. Но учтите, что формально - VCD вирус для WordPress вовсе не стандартный вирус, к которым мы все привыкли. По этому даже не пытайтесь поймать его любой версией "Avast", из известных антивирусов - его ловит Касперский под угрозой "Backdoor.PHP.Agent.adl".
Ради спортивного интереса я проанализировал зараженный плагин с помощью VirusTotal, и вот этот самый отчет:
Для просмотра ссылки Войди
Результат не велик. 15/58 антивирусов распознают в нем угрозу. Но давайте пойдем дальше и узнаем, где эта самая "угроза".
Как распознать зараженный плагин без VirusTotal
Мой подопытный кролик - плагин "YITH Woocommerce Customize Myaccount Page". Учтите, по моим наблюдениям - продукты nulled от YITH рекордсмены по вирусу VCD. Будьте вдвойне внимательны, когда устанавливайте их. Проверяйте их с помощью VirusTotal.
Но, что делать если VirusTotal лень открывать и хочется самому во всем разобраться?
Я тоже люблю сам во всем разбираться, по этому расскажу, как это сделать. И так:
- Открываем архив в нашем плагином.
- Если в родительской директории есть файл который начинается со слова "class." - уже это первый звоночек. Такой файл в нашем случае будет называться "class.plugin-modules.php". Учтите, такой файл исходит не от плагина, это и есть зараженный файл-вируса. Но нам нужно убедиться в этом, а для этого давайте перейдем к следующему шагу.
- Открывает файл самого плагина из родительской директории с функциями данного плагина. В нашем случае это "init.php" И всегда смотрим на первую строку модуля, как в случае с зараженной темой и ее файлом functions.php.
- Находим строку в файле init.php (в случае этого плагина, в остальных и файлы будут другими). - Находим строку "
PHP:
<?php if (file_exists(dirname(__FILE__) . '/class.plugin-modules.php')) include_once(dirname(__FILE__) . '/class.plugin-modules.php'); ?>
Код:
<a href="#"><?php echo $name_user; ?><?php echo $lastmane; ?></a>
Как вылечить зараженный плагин? (без лишних слов)
- Ищем в родительской директории плагина файл, начинающийся на "class.". Открываем его, и если в нем расположена куча HASH-кода (непонятные иерогливы и буквы в разнобой) или он просто называется "class.plugin-modules.php" - ТО УДАЛЯЕМ ЕГО
- Открываем файл функций или в нашем случае "init.php" и ищем первую строку "
PHP:
<?php if (file_exists(dirname(__FILE__) . '/class.plugin-modules.php')) include_once(dirname(__FILE__) . '/class.plugin-modules.php'); ?>
- На всякий случай ищем "if (file_exists(dirname" и места закрытия php и моментального открытия нового "?><?php" (это моветон в программировании, разработчики такое не допускают).
- После этого мы избавились от вируса.
Для этого давайте проведем повторный тест. Заливаю этот плагин, после проделанных манипуляций снова в VirusTotal.
Для просмотра ссылки Войди
1/56 - Что же. Это победа над VCD.
Но учтите - Nulled плагины с подозрительных источников могут нейти за собой не только VCD-вирус, а другие - банальные скрипты с вредоносным кодом, с помощью которых можно подхватить даже на свой компьютер много "экскрементов".
Так, что будьте внимательны - и старайтесь проверять каждый nulled плагин с помощью VirusTotal.
Спасибо, за внимание.
Что важно знать о зараженных плагинах
- Плагины заражают систему в момент установки или активации плагина. Если вы просто перекинули папку с плагином в WordPress - с большой вероятностью вы еще не успели заразить свой движок.
- Плагины не распознаются 80% антивирусов, по этому не надейтесь, что ваш "Avast" забьет тревогу от этого плагина
- я прикрепляю ссылку на него. ВНИМАНИЕ: НЕ УСТАНАВЛИВАЙТЕ ЕГО В ВАШ WORDPRESS, В ПРОТИВНОМ СЛУЧАЕ ВЫ ЗАРАЗИТЕ СВОЙ ДВИЖОК.
Используйте зараженный плагин исключительно для того, чтобы наглядно убедится где скрывается VCD-ВИРУС WORDPRESS.
Угрозы для самого ПК - вирус не несет, т.к. является PHP ВИРУСОМ и без обработчика php заработать не сможет (Обработчики - это локальный Denwer или сам сервер).
По этому повторюсь, ПРОСТО НЕ УСТАНАВЛИВАЙТЕ ЕГО В WODPRESS.
Далее ссылка на ЗАРАЖЕННЫЙ VCD-ВИРУСОМ ФАЙЛ
Для просмотра ссылки Войди
Последнее редактирование: