[Tips WordPress] Cách xử lý wordpress dính mã độc

7 Likes Comment

Theo như các bạn đã biết, trên nhiều trang themes khác nhau họ chia sẻ một số themes hầu như là khổng lồ themes/plugins premium một cách miễn phí. Một phần là do tài chính, thứ 2 là do quá trình thanh toán khác ngạch, một số rườm rà nên chọn themes free premium.

Mã độc malware wp-vcd

Mình là nạn nhân và đang khốn khổ với những gì mình đang gặp phải ngày hôm nay, hết sức chán nản, mình có một số themes/plugins premium được tải trên các trang mạng sau:

  • wpnull24.com
  • thewpclub.net
  • themenull.net
  • downloadnulled.pw
  • wpthemify.com
Cảnh báo tất cả các file từ 2 website này đều dính mã độc:
  • vestathemes.com
  • downloadfreethemes.co

Hôm nay mới phát hiện được, tìm hiểu thì ra mình đã dính malware wp-vcd, để xử lý bạn làm theo sau nha. Cái này mình cũng tìm hiểu để áp dụng trên chính website của mình/ Thật sự thì nguy cơ lây nhiễm của nó kinh khũng thật.

malware wp-vcd base64

Cách để nhận biết được website của bạn bị hay không

Trong file functions.php của theme, bạn sẽ thấy dòng code như sau, đoạn này được tự thêm bởi malware wp-vcd

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '9c2ad46dcc884b9ba519ea6ddccd2671'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{case 'change_domain';
if (isset($_REQUEST['newdomain']))
{
if (!empty($_REQUEST['newdomain']))
{
if ($file = @file_get_contents(__FILE__))
{

$start_wp_theme_tmp
wp_tmp
$end_wp_theme_tmp

Bạn có thể tìm hiểu đoạn ngắn như thế này, của mình nó tạo như trên

file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);

Mã này nhúng file wp-tmp.php / class.theme-modules.php, nó sẽ tạo ra phần mềm độc hại wp-vcd vào các chủ đề theme khác được cài đặt (bật / tắt) và tạo tất cả các tệp độc hại khác.

Làm thế nào để xóa phần mềm độc hại wp-vcd trong wordpress?

Cách 1: Tìm các tệp dưới đây trên máy chủ web, các tệp này thường xuyên được tạo ra.

  • wp-includes/wp-vcd.php
  • wp-includes/wp-tmp.php
  • wp-content/themes/*/functions.php (all themes installed on the server whether active or not)
  • class.theme-modules.php
  • class.wp.php
  • admin.txt
  • codexc.txt
  • code1.php
  • class.theme-modules.php (inside the theme folder)

Cách 2: Tìm kiếm các mẫu chuỗi được tìm thấy trong các tệp phần mềm độc hại bị nhiễm

  • tmpcontentx
  • function wp_temp_setupx
  • wp-tmp.php
  • derna.top/code.php
  • stripos($tmpcontent, $wp_auth_key)

Tóm tắt lại:

  1. Xóa đoạn đầu code trong file /wp-content/themes/your-theme/functions.php
  2. Xóa file /wp-content/themes/your-theme/class.theme-modules.php
  3. Xóa đoạn code trong file /wp-includes/post.php
  4. Xóa file sau đây (nếu có):
    /wp-includes/wp-vcd.php
    /wp-includes/wp-tmp.php
    /wp-includes/wp-feed.php
    /wp-includes/class.wp.php (đừng nhầm class-wp.php)

Sau khi thực hiện tìm kiếm và xóa, để bảo vệ hoàn toàn, bạn nên xóa các themes không dùng trên hosting, cập nhật bản wordpress mới, truy cập vào csdl tìm và xóa các bảng được tạo ra từ malware và đặc biệt không sử dụng themes null.

Bạn có thể thích