Nie tak dawno temu wirus pojawił się na wielu stronach hostingowych, Nie jest do końca jasne, jak się na nie dostał., ale jest bardzo prawdopodobne, że przeszedł przez jedną z wersji WordPressa. Bardzo ważny jest fakt, że przed aktualizacją aibolit i inne skanery nie były i można go było znaleźć tylko kopiąc przez ręce. Udało mi się początkowo wykryć wirusa za pomocą mojego hostingu, o którym już mówiłem więcej niż raz. ukraine.com.ua. Wbudowany skaner antywirusowy na hostingu działał.

A potem zacząłem szukać wirusów.

Po kopaniu w Internecie znalazłem rozwiązanie problemu, to jest rozwiązanie, którym chciałbym się z wami podzielić.

Jeśli dziwny kod tego rodzaju pojawi się w witrynie w folderze motywu, To znaczy, że zostałeś zainfekowany.

Na szczęście dla mnie było to, że, który został zainfekowany stroną testową, na której testowałem różne wtyczki i mogłem eksperymentować. Pierwszą rzeczą, którą zrobiłem, Spowoduje to usunięcie kodu z pliku functions.php, Został umieszczony na górze kodu, Ale to nie przyniosło większego efektu., następnego dnia znalazłem nowy kod w tej samej lokalizacji, i we wszystkich tematach przesłanych do witryny testowej. Ponadto stało się jasne, że nie tylko ten plik został zainfekowany i trzeba było kopać dalej.

Następnie znalazłem dziwny plik w jądrze WP, który był częścią wirusa wp-includes/class.wp.php, Nie było go w podstawowej kompilacji i pojawił się niedawno, Dlatego ten plik może zostać usunięty bez obaw i po nazwie, aby wyszukać pliki, w których mógłby się połączyć. Obok znalazłem inny plik wp-includes/wp-vcd.php on również nie pochodził z jądra i został stworzony wyłącznie przez wirusa.

Ważne jest, że nie wszystkie strony, na których później znalazłem wirusy, miały te pliki., Więc może wirus nie był pierwszą wersją (mutował powoli), Ale w .php pliku funkcji kod wirusa był wszędzie.

Aby ułatwić porównywanie plików jądra, zostawiłem ci link do oficjalnego repozytorium WP, na GitHub, gdzie można zobaczyć listę plików bez pobierania pełnego pakietu CMS WordPress. Pliki można obejrzeć tutaj: https://github.com/WordPress/WordPress/tree/master/wp-includes

Znalazłem również informację, że wiele osób miało dziwny kod w pliku "wp-includes/post.php". Oto przykład początku złośliwego kodu:

Hakerzy umieścili w nim plik wirusa. Standardowy widok niezainfekowanego pliku postu.php możesz zobaczyć tutaj https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php.

Ważne jest, aby sprawdzić plik funkcji.php we wszystkich tematach zawartych w witrynie. Pełną listę wirusów można zobaczyć tutaj: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709.

Jeśli masz taki złośliwy kod, Następnie ważne jest, aby usunąć go całkowicie. W powyższym przykładzie koniec wirusa na 100 Linia.

Na temat tego wirusa znalazłem ciekawe informacje. Ludzie piszą, że utworzono dodatkowego użytkownika, a nawet niektórzy mieli ukrytego użytkownika, Więc nie zapomnij sprawdzić tabeli wp_users dla fałszywych administratorów witryn.

Ważniejsze! Nie zapomnij wykonać kopii plików i bazy danych swojej witryny przed rozpoczęciem czyszczenia, aby uniknąć nieodwracalnych konsekwencji.

Pamiętaj, że wiele wirusów jest modyfikowanych w czasie i aby je wyczyścić, musisz zrozumieć kod, i identyfikować linki.

O tym, jakie są wirusy i jak można z nimi walczyć, można przeczytać w naszym artykule "Jak usunąć wirusa z witryny WordPress“.

Mogę usunąć wirusa z witryny WordPress i skonfigurować dla ciebie ochronę

Jeśli tak się stanie, że Twoja strona została zainfekowana lub wirusy pojawiają się cały czas lub jej wydajność jest osłabiona, Następnie napisz do mnie, a postaram się ci pomóc.