Информация Инструкция как удалить вирус с WORDPRESS

Статус
В этой теме нельзя размещать новые ответы.

Sadzi

Создатель
Регистрация
5 Окт 2012
Сообщения
24
Реакции
37
Здравствуйте! Хотел бы поделиться довольно полезной информацией о решении проблемы, над которой потратил не один десяток минут, чтобы решить, и даже часов поначалу.

Сегодня речь пойдет о том, как удалить один из самых неприятных вирусов WordPress, который встречается очень часто. Неприятен он тем в первую очередь, что незаметен, а приносит немало хлопот. Особенно - если вы фрилансер и поставили зараженный плагин на сайт заказчику. - Возмущений будет много, однозначно.

В интернете очень мало информации конкретной о нем, по этому давайте разберем, что к чему и как выглядит "в целом" этот вирус.

VCD - Вирус WordPress'а
Как называется он вопрос, я его так называю из-за наличия соответствующей строки и названия вредоностных файлов, что он создает.

Давайте рассмотрим, как работает вирус, как от него уберечь себя и самое главное - как излечить зараженный плагин (По излечению плагинов в интернете информации вообще не нашел, к этому пришел я сам и хочу поделиться.


Начнем.

Что делает вирус VCD для WordPress ?
  1. Вирус незаметно создает вредоносные файлы в wp-includes и файлах functions.php во всех темах, что есть (Не только в активной!)
  2. Вирус в первую очередь работает на мобильных устройствах и чаще всего под управлением Android - по этому он столь незаметный на первый взгляд. Он при переходе на сайт с мобильного - перебрасывает на вредоносные сайты или просто на реферальные ссылки Aliexpress и подобных.
Как определить, что WordPress-сайт заражен VCD ?
Сделать это не так сложно, как могло бы представиться. В первую очередь откройте файл functions.php вашей темы и поднимитесь в самый верх.
Если Вы увидите что-то подобное, как на приведенном ниже скриншоте, то "поздравляю" с заражением движка этой бякой.
vcd.jpg

Не отчаиваемся. Читаем дальше.

Если вы увидели этот код - WordPress заражен, а теперь его нужно излечить.

Как удалить вирус VCD с WordPress?
Все довольно не сложно. Для начала - запомните - не переходите на сам сайт. Если wordpress заражен, то каждое обновление страницы он будет возобновлять весь вредоносный код и придется заново все начинать. Так, что - на сайт не заходим.

Что же.

  1. Первым делом удалите из тем в файле functions.php этот код. Найти очень просто его конец: Он начинается с php тега <?php и заканчивается стандартно ?>, после чего как раз и начинается наш fucntions.php, который был до заражения. А начинается он тоже с тега <?php . Таким образом просто после начала этого кода вредоносного ищем место где заканчивается и начинается новый тег PHP, выглядит это так: ?><?php. Удаляем по эту строку. Повторюсь, в КАЖДОМ файле functions.php ВСЕХ тем, а не только той, что активна.
  2. Теперь переходим в wp-includes и листаем в самый низ. Нам нужно найти файлы wp-vcd.php и wp-cd.php, если у Вас есть файлы в этой же зоне с "tmp", то тоже удалите!
  3. Теперь в wp-includes переходим в файл post.php и в самом вверху у нас будет красоваться вирусный текст "
    PHP:
    <?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?>
    ". Удалите его полностью!
После этого Вас можно поздравить с удалением этой гадости из вашего WordPress.
Чуть позже я добавлю информацию о том, как излечить плагин, зараженный этим вирусом и как распознать, что плагин заражен.

Если у Вас возникли вопросы, то спрашивайте, я буду рад Вам помочь в их решении.


UPD 08.11.2018

Добавляю инструкцию о том, как распознать, что плагин заражен и самое главное - как излечить плагин.

Подобную информацию я не смог найти в интернете, все что дописано далее - исключительно мои наблюдения, специально для Nulled.CC

В целях, того, чтобы не делать статью очень длинной, инструкцию прячу в спойлер.
Как распознать, что плагин заражен?
Самый проверенный способ - все еще имеет свою актуальность. Конечно же это VirusTotal. Но учтите, что формально - VCD вирус для WordPress вовсе не стандартный вирус, к которым мы все привыкли. По этому даже не пытайтесь поймать его любой версией "Avast", из известных антивирусов - его ловит Касперский под угрозой "Backdoor.PHP.Agent.adl".

Ради спортивного интереса я проанализировал зараженный плагин с помощью VirusTotal, и вот этот самый отчет:
Для просмотра ссылки Войди или Зарегистрируйся


Результат не велик. 15/58 антивирусов распознают в нем угрозу. Но давайте пойдем дальше и узнаем, где эта самая "угроза".

Как распознать зараженный плагин без VirusTotal
Мой подопытный кролик - плагин "YITH Woocommerce Customize Myaccount Page". Учтите, по моим наблюдениям - продукты nulled от YITH рекордсмены по вирусу VCD. Будьте вдвойне внимательны, когда устанавливайте их. Проверяйте их с помощью VirusTotal.
Но, что делать если VirusTotal лень открывать и хочется самому во всем разобраться?

Я тоже люблю сам во всем разбираться, по этому расскажу, как это сделать. И так:
  1. Открываем архив в нашем плагином.
  2. Если в родительской директории есть файл который начинается со слова "class." - уже это первый звоночек. Такой файл в нашем случае будет называться "class.plugin-modules.php". Учтите, такой файл исходит не от плагина, это и есть зараженный файл-вируса. Но нам нужно убедиться в этом, а для этого давайте перейдем к следующему шагу.
  3. Открывает файл самого плагина из родительской директории с функциями данного плагина. В нашем случае это "init.php" И всегда смотрим на первую строку модуля, как в случае с зараженной темой и ее файлом functions.php.
  4. Находим строку в файле init.php (в случае этого плагина, в остальных и файлы будут другими). - Находим строку "
    PHP:
    <?php if (file_exists(dirname(__FILE__) . '/class.plugin-modules.php')) include_once(dirname(__FILE__) . '/class.plugin-modules.php'); ?>
    " - Это и есть наша небрежная строка подключения этого вируса. Видим функцию "include_once" - которая импортирует содержимое файла указанного в ней в файл, где находится эта вредоносная строка.
Ребята, что распространяют VCD - вирус особо не заморачиваються с тем, чтобы его прятать. Найти его, как я описал выше - довольно просто. Но лучше перестраховаться и поискать по всем файлам совпадения на "if (file_exists(dirname" и так же - поищите замыкающийся тег php и сразу открытие тега php: "?><?php". Дело в том, что ни один уважающий себя разработчик не будет использовать в своих include-файлах такой прием закрытия php и открытия. Все пишется в базе единого php-тега. Исключением могут быть файлы темы, где используется php код вместе с HTML, и только там можно встретить, что-то на подобии:
Код:
<a href="#"><?php echo $name_user; ?><?php echo $lastmane; ?></a>

Как вылечить зараженный плагин? (без лишних слов)
  1. Ищем в родительской директории плагина файл, начинающийся на "class.". Открываем его, и если в нем расположена куча HASH-кода (непонятные иерогливы и буквы в разнобой) или он просто называется "class.plugin-modules.php" - ТО УДАЛЯЕМ ЕГО
  2. Открываем файл функций или в нашем случае "init.php" и ищем первую строку "
    PHP:
    <?php if (file_exists(dirname(__FILE__) . '/class.plugin-modules.php')) include_once(dirname(__FILE__) . '/class.plugin-modules.php'); ?>
    - которая обязательно переходит в другой php тег - И УДАЕЕМ ЕЕ перед открытием нового тега php "
    <?php"
  3. На всякий случай ищем "if (file_exists(dirname" и места закрытия php и моментального открытия нового "?><?php" (это моветон в программировании, разработчики такое не допускают).
  4. После этого мы избавились от вируса.
Получилось ли нам вылечить файл?
Для этого давайте проведем повторный тест. Заливаю этот плагин, после проделанных манипуляций снова в VirusTotal.
Для просмотра ссылки Войди или Зарегистрируйся


1/56 - Что же. Это победа над VCD.
Но учтите - Nulled плагины с подозрительных источников могут нейти за собой не только VCD-вирус, а другие - банальные скрипты с вредоносным кодом, с помощью которых можно подхватить даже на свой компьютер много "экскрементов".
Так, что будьте внимательны - и старайтесь проверять каждый nulled плагин с помощью VirusTotal.

Спасибо, за внимание.

Что важно знать о зараженных плагинах
  1. Плагины заражают систему в момент установки или активации плагина. Если вы просто перекинули папку с плагином в WordPress - с большой вероятностью вы еще не успели заразить свой движок.
  2. Плагины не распознаются 80% антивирусов, по этому не надейтесь, что ваш "Avast" забьет тревогу от этого плагина
Для тех, кто хочет самостоятельно протестировать ЗАРАЖЕННЫЙ плагин:
- я прикрепляю ссылку на него.
ВНИМАНИЕ: НЕ УСТАНАВЛИВАЙТЕ ЕГО В ВАШ WORDPRESS, В ПРОТИВНОМ СЛУЧАЕ ВЫ ЗАРАЗИТЕ СВОЙ ДВИЖОК.

Используйте зараженный плагин исключительно для того, чтобы наглядно убедится где скрывается VCD-ВИРУС WORDPRESS.

Угрозы для самого ПК - вирус не несет, т.к. является PHP ВИРУСОМ и без обработчика php заработать не сможет (Обработчики - это локальный Denwer или сам сервер).

По этому повторюсь, ПРОСТО НЕ УСТАНАВЛИВАЙТЕ ЕГО В WODPRESS.

Далее ссылка на ЗАРАЖЕННЫЙ VCD-ВИРУСОМ ФАЙЛ
Для просмотра ссылки Войди или Зарегистрируйся
 
Последнее редактирование:

Alexeina66

Мой дом здесь!
Регистрация
26 Авг 2013
Сообщения
403
Реакции
430
Было бы неплохо озвучить версию WP на которой встретили вирус. И вообще как он попадает туда? Я правильно понимаю, что это происходит через "дырявый" плагин? То есть не официально скачанный с репозитария, а найденный на просторах? И озвучьте какой конкретно плагин был заражен.
 

Sadzi

Создатель
Регистрация
5 Окт 2012
Сообщения
24
Реакции
37
Было бы неплохо озвучить версию WP на которой встретили вирус. И вообще как он попадает туда? Я правильно понимаю, что это происходит через "дырявый" плагин? То есть не официально скачанный с репозитария, а найденный на просторах? И озвучьте какой конкретно плагин был заражен.

Вирус актуален вплоть до последней версии WordPress на данный момент (4.9.8). Первый раз я столкнулся с ним еще более 4 лет назад.
Самый распространенный способ заражения - это как раз установка инфицированного плагина, как правило это Nulled версии.
Самый последний раз столкнулся с зараженным плагином - 2 недели назад. Это был плагин от YITH для WooCommerce. На мое удивление, почти все nulled-плагины от YITH заражены. Но это лишь пример, на деле таких зараженных плагинов - очень и очень много.

Но, на мое удивление есть и другой способ заражения. Столкнулся я с ним, когда у меня на сервере было установлены на разных доменах порядка 5 сайтов на wordpress и в один момент они заразились один за другим. Как это происходит - на самом деле загадка для меня, ведь у меня не включен был мультисайт или тому подобное. Возможно вирус умеет рыться по сайтам wordpress, расположенных на одном домене, если права на папки были расставлены не правильно, и есть разрешения на запись, которых быть не должно

Я завтра утром добавлю в статью подробную инструкцию, как лечить плагины и как распознать, что они заражены.
 

Iga

Гуру форума
Регистрация
12 Янв 2014
Сообщения
425
Реакции
82
Для чистоты эксперимента можно ещё прогнать все файлы поиском по vcd(по имени файла и содержанию).
 

Avalones

Постоялец
Регистрация
10 Июл 2018
Сообщения
278
Реакции
157
Сталкивался с точно такой же ситуацией, потратил кучу времени пока нашел что надо удалить эти файлы) Пока не удалил файлы каждое обновление страницы код возвращался во все страницы.Причем во все страницы всех сайтов на хостинге. После этого начал нулл качать с проверенных сайтов и проверять вирустоталом, если вирусов нет - ставлю. После этого ни на одном сайте не появлялось.

P.S. Выявил один сайт на котором 100% всех файлов с вирусом - downloadfreethemes.download (не реклама, лучше вообще не переходите) Если в гугле видите этот адрес не заходите туда. Специально поставил несколько плагинов для эксперимента на локальный сервер, и он заразил все файлы тем.
 

leoner

Постоялец
Регистрация
31 Мар 2010
Сообщения
74
Реакции
26
Специально поставил несколько плагинов для эксперимента на локальный сервер, и он заразил все файлы тем.
Поэтому лучше всего проверять все устанавливаемые плагины через virustotal.
 

Sadzi

Создатель
Регистрация
5 Окт 2012
Сообщения
24
Реакции
37
Ребята, добавил, как обещал ранее - инструкцию как распознать зараженный файл и как его вылечить.
Добавил в статью (В спойлер внизу статьи).

Внимание: К инструкции для тех, кто хочет самостоятельно исследовать этот вирус для WordPress. - Я прикрепляю ссылку на зараженный плагин от YITH.
НАСТОЯТЕЛЬНО НЕ РЕКОМЕНДУЮ УСТАНАВЛИВАТЬ ЭТОТ ФАЙЛ В WORDPRESS - В ПРОТИВНОМ СЛУЧАЕ ВЫ ЗАРАЗИТЕ ВАШ ДВИЖОК.

Так же: Если Вы все таки хотите установить этот плагин и УМЫШЛЕННО заразить ваш движок, для проверки как удалить вирус VCD, как написано в статье: НИ В КОЕМ СЛУЧАЕ НЕ УСТАНАВЛИВАЙТЕ ЕГО НА ХОСТИНГ, ЕСЛИ НА НЕМ У ВАС ЕСТЬ И ДРУГИЕ САЙТЫ. ЕСТЬ БОЛЬШОЙ РИСК ЗАРАЗИТЬ И ИХ, ЕСЛИ У ВАС НЕПРАВИЛЬНО УСТАНОВЛЕНЫ ПРАВА ДОСТУПА CHMOD.
 

Sadzi

Создатель
Регистрация
5 Окт 2012
Сообщения
24
Реакции
37
Друзья, так же помните: Если Вы излечили плагин от вируса VCD - Это не гарантирует, что в нем не будет других вредоносных кодов, которые могут в некоторых случаях нанести значимый урон вашему серверу.

Пожалуйста, используйте мой метод излечения плагина, только с тщательной проверкой потом на VirusTotal!
 

Dri-M

Создатель
Регистрация
9 Фев 2013
Сообщения
23
Реакции
56
стоит этот Для просмотра ссылки Войди или Зарегистрируйся - и постоянно мониторит весь саит и впринципе проблем незнаю...
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху