terça-feira, 14 de julho de 2009

Tirando vírus IFrame do WordPress


De uns dias para cá venho procurando algo de útil para falar do WordPress -WP uma outro plataforma muito usada assim como blogger e hoje acabei achando um tutorial no Rei da Cocada Preta de como retirar vírus IFrame(um tipo de vírus de blog) do WordPress segue veja o tutorial abaixo

"O Iframe é um vírus que não tem tanto poder destrutivo, mas é extremamente fácil de se reproduzir e detonar com seu blog no Wordpress facilmente devido a ter um código que além de se reproduzir com alguma facilidade tem um agravante, se você tem outros blogs ou sites que administra via ftp podem todos ser infectados de igual modo e de um dia para outro você constatar que todos os seus blogs foram infectados e com certo pânico estão offline, e além disto tudo que é ruim, o Google ainda poderá indicar seus blogs como sendo suspeitos de passar infecção e apontar isto para outros usuários. E aí ferra com tudo não é mesmo? Ainda mais se você for um problogger onde o rendimento de seus sites ou trabalho tenha impacto em sua vida financeira. Então é melhor limpar logo esse maldito vírus de seu(s) blog(s) antes que seja tarde demais e veja todo o seu trabalho suado ir por água abaixo por causa de um vírus. Tive apenas em 3 dias 7 sites infectados e levei 4 dias para limpar todos, inclusive com a ajuda do suporte da Hostgator onde tenho 4 blogs no Wordpress.

SEGUE ABAIXO EM 7 PASSOS UM TUTORIAL DE COMO LIMPAR O IFRAME de blogs no WORDPRESS.
(não garanto que funcionará 100% mas que pode ajudá-lo consideravelmente com esta praga e possivelmente seu blog voltará a funcionar após todos os passos).

7 Passos para limpar o IFRAME de seu blog Wordpress que está infectado:

1º Bloqueie o acesso ao seu site criando uma página index.htm temporária e faça o upload para o servidor explicando que o site está off em manunentação ou algo assim explicando aos usuários que voltará (isto serve também para não infectar máquinas de outros usuários através do seu site, sim isto é terrível e pode ocorrer)

2º Limpe sua máquina, instale ou atualize seu antivírus pois sua máquina com quase 99% de certeza está infectado com o IFrame pois ele infecta browser ou qualquer outro programa com seu código malicioso. Seu computador precisa estar limpo porque este vírus acessa seu ftp e senhas para se transmitir para seus blogs e sites que tiverem senha dentro do programa ftp principalmente se os programas forem Cute FTP ou WS FTP. É bom rodar um antivirus BOM, que esteja atualizado, (antivirus premium, golden, profissional não significa que o mesmo é bom). Use também um antimalware como Malware Bytes antimalware para certicar-se da limpeza.

3º Quando sua máquina estiver completamente limpa, mude suas senhas de ftp no painel de controle do seu site ou peça a mudança ao pessoal do suporte se não souber como mudar.

4º Desinstale o seu programa de FTP e todas as entradas dele do registro e instale outro programa diferente (é uma boa recomendação instalar o FileZilla que é grátis e não costuma se contaminar).

Não delete os arquivos do seu blog no servidor pois você pode detoná-lo de alguma forma. O que você precisa fazer é substituir os arquivos infectados do seu blog WORDPRESS no servidor onde ele está hospedado, algumas vezes o suporte poderá ajudá-lo, outras não a fazer estas operações, porque de certa forma a manutenção do site é responsabilidade do cliente e também questões de segurança são por conta do administrador do site ou proprietário.

(Se possível for durante algumas destas operações entre no seu painel do WP e desabilite todos os plugins!)

6º Baixe a mesma versão que está instalada em seu blog para seu computador para que você tenha posse dos arquivos limpos e sobreescrevê-los no servidor onde seu blog se encontra infectado. Como assim? Confira a versão que está instalada em seu servidor, se for 2.3 substitua os arquivos pela versão 2.3 limpa de seu computador via ftp. Baixe inclusive o seu tema que está instalado também no seu servidor pois este vírus infecta dois arquivos do seu tema predileto do Wordpress.

7º O IFrame como malware pode infectar qualquer arquivo PHP, em teoria porque ele é apenas um pedaço de código que tem de ser injetado no arquivo, mas desde que você já está usando WordPress em seu blog, muito provavelmente os arquivos infectados por ele são:

index.php
in root folder
wp-config.php in root folder
(cuidado com este arquivo, você precisa ter as informações de seu banco de dados dentro dele, é aconselhável baixar o que está no servidor, apagar o código do vírus e sobreescrevê-lo, e não copiar direto do arquivo ou cópia de sua versão do Wordpress – muita atenção aqui!)

index.php in wp-admin folder
index.php in wp-contents\yourtheme\ folder
home.php in wp-contents\yourtheme\ folder
default-filters.php in wp-includes folder

E foram estes arquivos que eu tive que remover para a maioria de meus blogs infectados voltarem a funcionar. Mas é claro que com a versão limpa e gastando uns 4 dias para limpar todos os blogs que foram infectados. Suba estes arquivos limpos para seu servidor WP e torça para que seu blog volte na hora pois os passos são estes e fiz uma pesquisa grande para que isto acontecesse, pois aprendi a limpar o vírus na marra.

Se tiver alguma dúvida deixe aí que no tempo disponível respondo, é isso, espero que tenha sucesso pois fui bastante prejudicado por este maldito vírus de blog e hoje todos os blogs estão funcionando, inclusive este que você está lendo o tutorial."

Referências para limpeza usadas neste tutorial:
How to remove IFrame Trojan?
HTML:Iframe-inf wordpress Infection
iFrame Hack on Several WP Sites
AntiVirus protection for your blog
Using Combofix a guide and tutorial



6 comentários:

srfrance disse...

Lucas, eu nem imaginava que existia essa praga, foi o pedido de ajuda de uma webdesigner, conhecida minha, que me trouxe ao seu texto. Queria parabenizá-lo pelo conteúdo muito bem explicado e agradecer. Acho tão bom quando alguém agradece um trabalho que faço, que não poderia deixar de fazer o mesmo...
Muito obrigada por sua colaboração!
Sônia Regina

Lucas disse...

Obrigado sonia ^^

Jonathan disse...

Vichi aconteceu comigo, fiz o que vc explicou, espero que não aconteça mais pq o negocio chato, perdemos as visitas por causa dessa praga, tutorial muito bom, muito agradecido, continue assim sempre.

Abraços

Shadow Belmolve disse...

Certo, e quem usa Linux(no desktop e no servidor), tem que se preocupar?

Lucas disse...

Sim ,Shadow e sempre bom se previnir

Oskar disse...

Lucas, muito obrigado. Comecei um blog recentemente e já fui atacado por essa praga. Puts ,esse vírus é tão irritante quanto o Win32:Parite e Win32:Sality.
Uma coisa, só achei o vírus na página "index.html" da pasta root. Depois vou ver se baixo o site inteiro por ftp e verifico-o com um buscador de textos(já que o avast que tenho instalado aqui não encotra o vírus escaneando).

Postar um comentário

- Todo comentário obsceno, ilegal, ofensivo, anônimo, escrito todo em maiúscula, contendo gírias em excesso ou estritamente publicitários, serão "apagados".
- Somente inclua links no comentário se ajudar a explicar o seu comentário.
- Se precisa de ajuda, procure deixar o máximo de informação possível.
- Não peça para adicionar ao MSN.
- Spam não será tolerado.