Szolgáltatótól származó biztonsági üzenet

sbenji · 2018. december 7. 17:09

Sziasztok!

Egy webárúház tárhelyszolgáltató költöztetése során, az új szolgáltatótól az alábbi üzenetet kapta a webárúház tulajdonosa, azzal a szöveggel, hogy a saját maguk által minden weboldalnál futtatott ellenőrzés során ez a hibaüzenet jött fel.

Kérem aki találkozott már ilyesmivel, írja le tapasztalatait, esetleg megoldását, köszönöm!

----------- SCAN REPORT -----------
TimeStamp: Sat, 1 Dec 2018 22:42:54 +0100
(/usr/sbin/cxs --nobayes --clamdsock /var/clamd --dbreport --defapache nobody --doptions Mv --exploitscan --nofallback --filemax 10000 --noforce --html --ignore /etc/cxs/cxs.ignore --options MfSGchednZRD --qoptions Mv --quiet --report /var/log/cxstoolcli.arucentral.log --sizemax 1000000 --ssl --nosummary --sversionscan --timemax 30 --nounofficial --user arucentral --virusscan --voptions mexT)

Scanning /home/arucentral:

‘/home/arucentral/public_html/wp-content/plugins/akismet/akismet.php’

Script version check [OLD] [Akismet Anti-Spam v3.3.4 < v4.0.8]

‘/home/arucentral/public_html/wp-content/plugins/contact-form-7/wp-contact-form-7.php’

Script version check [OLD] [Contact Form 7 v4.9.2 < v5.0.4]

‘/home/arucentral/public_html/wp-content/plugins/cookie-notice/cookie-notice.php’

Script version check [OLD] [Cookie Notice v1.2.40 < v1.2.44]

‘/home/arucentral/public_html/wp-content/plugins/duplicator/duplicator.php’

Script version check [OLD] [Duplicator v1.2.30 < v1.2.48]

‘/home/arucentral/public_html/wp-content/plugins/really-simple-ssl/rlrsssl-really-simple-ssl.php’

Script version check [OLD] [Really Simple SSL v2.5.24 < v3.1.1]

‘/home/arucentral/public_html/wp-content/plugins/redux-framework/redux-framework.php’

Script version check [OLD] [Redux Framework v3.6.7.7 < v3.6.11]

‘/home/arucentral/public_html/wp-content/plugins/tinymce-advanced/tinymce-advanced.php’

Script version check [OLD] [TinyMCE Advanced v4.6.7 < v4.8.0]

‘/home/arucentral/public_html/wp-content/plugins/user-role-editor/user-role-editor.php’

Script version check [OLD] [User Role Editor v4.40.3 < v4.46]

‘/home/arucentral/public_html/wp-content/plugins/woocommerce/woocommerce.php’

Script version check [OLD] [WooCommerce v3.0.9 < v3.4.6]

‘/home/arucentral/public_html/wp-content/plugins/wordpress-importer/wordpress-importer.php’

Script version check [OLD] [WordPress Importer v0.6.3 < v0.6.4]

‘/home/arucentral/public_html/wp-content/plugins/yith-woocommerce-compare/init.php’

Script version check [OLD] [YITH WooCommerce Compare v2.2.2 < v2.3.4]

‘/home/arucentral/public_html/wp-content/plugins/yith-woocommerce-wishlist/init.php’

Script version check [OLD] [YITH WooCommerce Wishlist v2.1.2 < v2.2.4]

‘/home/arucentral/public_html/wp-content/themes/bigbag/functions.php’

Known exploit = [Fingerprint Match] [PHP WordPress Exploit [P1412]]

‘/home/arucentral/public_html/wp-content/themes/bigbag-child/functions.php’

Known exploit = [Fingerprint Match] [PHP WordPress Exploit [P1412]]

‘/home/arucentral/public_html/wp-includes/version.php’

Script version check [OLD] [Wordpress v4.8.2 < v4.9.8]

‘/home/arucentral/public_html/wp-includes/wp-vcd.php’

Known exploit = [Fingerprint Match] [WP Exploit [P1403]]

vicartdesign · 2018. december 7. 17:35

Szia!

Ha jó értelmezem, és az arucentral.hu -ról van szó, az vírusos (wp-vcd -s vírus), szóval e szerint kell eljárnotok.

Azonfelül ha jól látom, le kellene frissíteni a bővítményeket, illetve a Wordpresst.

sbenji · 2018. december 8. 14:28

Köszönöm, a bővítmények és elvileg minden más is naprakész, de akkor ez a fájl ez vírusos, egy egyszerű törlés megoldaná a problémát, és maga a wordpress generál a helyére egy új tiszta fájlt? Mert ha jól értem akkor ez egy olyan wp a fájl amit alapból a wordpress generál.

vicartdesign · 2018. december 8. 15:40

Azért ez nem ennyire egyszerű

Itt láthatod, hogy mit jelez vírusosnak a Sucuri.

Ha van Wordfence pluginod, azt is átfuttathatod, lehet jobban kilistázza, hogy pontosan mely fájlok érintettek, de alapvetően a wp-vcd-nél a következőket fájlok érintettek:

-Sablon functions.php fájl

-Sablon header / footer fájl

Ezekben kell keresni a vírust, ne pedig töröld az egészet.

Illetve ha találsz class.theme-modules.php vagy class.plugin-modules.php fájlt, azokat töröld, mert az generálja a vírust, azontúl a wp-includes mappában /wp-tmp.php vagy /wp-vcd.php fájlt látsz, azt is töröld azonnal!

Ezt követően ha ezeket megtaláltad és törölted, én újrahúznám a Wordpresst a helyedben (mindent törölnék a wp-content mappán, a htaccess fájlon és a wp-config.php fájlon kívül, majd FTP-n keresztül felraknám az új hivatalos oldalról letöltött wp-admin és wp-includes mappát + a többi WP fájlt).

Ha valahol elakadsz (nem tudod mit kell keresni pontosan stb), keress bátran…