Reinstalacja wtyczek WordPress – bez dostępu do FTP i kolejnej wtyczki
25 października 2016
Jak dodać do Google nowy wpis na blogu w mniej niż 5 minut ?
26 października 2016

Jakiś czas temu otrzymałem zadanie odwirusowania strony pewnej firmy opartej o CMS WordPress, ciekawostką było to, że strona poza kilkoma tysiącami postów nie miała innych objawów typowych dla infekcji WordPress’a tj Przekierowywanie na strony dla dorosłych z wyników wyszukiwania (szczególnie mobilnych), masowego wysyłania spamu czy wykonywania dziwnych operacji w tle.

Wpisy będące linkami do utworzonej treści np. o crackach do Pokomon Go nie były widoczne w kokpicie, nie były widoczne też kategorie, w których to zostały umieszczone – ciekawe było też to, że nie był one dostępne w kokpicie z poziomu żadnego narzędzia do masowego usuwania czy masowych działań na kategoriach.

Wyglądało to o tak:

przyklad-strony-ztrescia-wpcoresys-php

Zaczęło się standardowo

A więc same wpisy były dodane bezpośrednio do bazy danych – standardowe i podstawowe rzeczy przy czyszczeniu stron z infekcji tj reinstalacja WordPress, reinstalacja wtyczek, która sama wskazała rozwiązanie problemu.

Poznaj WPCoreSys.php

Mały plik, będący wtyczką widmo – widniał w edytorze wtyczek, ale już na liście wtyczek go nie było.

wpcoresys-php-wirus-wordpress-edytor-wtyczek

Jak udało mi się namierzyć – wg Google jest około 300 widocznych katalogów tej “wtyczki”

wpcoresys-php-wirus-wordpress

W moim przypadku był jeden taki katalog z plikiem WPCoreSys.php oraz download.log

Po usunięciu tego katalogu, a przed wykonaniem pozostałych czynności związanych z usługą rozpocząłem

Usuwanie wirusów z bazy danych WordPress

Mogłem to zrobić szybciej – po usunięciu wtyczki ukryte wpisy i kategorie pojawiły się, ale chciałem mieć 100% pewności, że usunę wszystko i nie spotka mnie żadna niespodzianka.

wpcoresys-php-wirus-wordpress-edytor-wtyczek

Tutaj autor wirusa się niezbyt postarał, na pierwszy rzut oka było widać prawidłowość – wszystkie posty miały ten sam ciąg znaków kończący wpis wyglądało to mniej więcej tak jak wskazałem na pierwszym zrzucie z innej strony, niż mój pacjent.

A więc wystarczyło znaleźć wszystkie posty korzystając z REGEX zawierające ten ciąg w komórce post_content i można było je łatwo usunąć, potem usunąć powiązane z nimi informacje w pozostałych tabelach i problem po dokończeniu czynności naprawczo-zabezpieczających przeszedł do historii.

Którędy wszedł wirus do świeżej instalacji WordPressa ?

Myślę, że nie zdziwi Ciebie fakt, że prawdopodobnie przez… wtyczkę od zabezpieczeń, ponieważ oprócz niej była tam tylko wtyczka techniczna (zawierająca shortcody dla ułatwienia obsługi) oraz JetPack.

Od kiedy hakerzy przejmują się SEO?

Powyżej w pierwszy zrzucie pokazałem tylko początek postu, ponieważ sam post wyglądał jak typowy opis na jakimś gamingowym blogu, miał nawet video i social proof jak niżej:

przyklad-strony-ztrescia-wpcoresys-php-2

 

Jakub Jaworowicz
Jakub Jaworowicz
Marketingiem zajmuję się od 15 roku życia, zacząłem od brzydkich stron w kreatorze stron usługi Republika serwisu Onet - obecnie obsługuje ponad 200 klientów i 450 serwisów WWW rocznie, które tworzyłem lub mam je pod swoją opieką (w zakresie wsparcia i utrzymania). Ostatnio etatowo pracowałem jako Specjalista ds Marketingu w największym ogrodniczym sklepie internetowym (SADOWNICZY.PL) oraz Kierownikiem działu wsparcia sprzedaży dla tego sklepu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Chcesz być powiadamiany o zagrożeniach i błędach w WordPress?
Bez Twojej dodatkowej zgody nie wyślę Tobie innych wiadomości - tylko te dotyczące bezpieczeństwa

Zamknij