Merhaba,

wordpress pop-up reklam virüsleri başbelası yakın zamanda benimde başıma geldi birkaç sitede ve gayet güzel pratik çözümler için epey araştırma yaptım.
R10 forumundan HelixTm arkadaşın konusunu gördüm epey detaylıca anlatmış ve yazısını alıntı ile paylaşmaya karar verdim benim arşivimde de olsun ne olur ne olmaz 😉

“Merhabalar,

Bugün keşvettiğim bir virüsün nasıl kaldırılacağına dair bilgi vermek istedim. İlallah ettiriyor ama sonunda buldum. İşin kötü tarafı öyle bir sistem yapmışlar ki, direkt olarak wordpress klasörlerine gönderiyor reklamı ve sonradan tema değişseniz de birşey fark etmiyor. Pluginler aracılığıyla mevcut temanızın functions.php kısmına bir kod yazdırıyorlar. Bu kod wp-includes klasörünün içerisine wp-tmp.php ve wp-vcd.php isminde dosyalar gönderiyor. Bu dosyaları tabi ki bilmeden burda bulmak neredeyse imkansız. Kullanıcı ilk olarak pluginlerden diye düşünüyor. Arıyor tarıyor bulamıyor. ( Bende öyle yaptım. ) Sonra tema değiştiriyor. ( Değiştirse bile nafile çünkü artık virüs sistemde. ) İşin kötü tarafı admin girişi yaptığınızda bu virüs reklam göstermiyor. O kadar şeytani düşünmüşler ki, kullanıcılardan yorum gelmese ben bile farkına varamayacaktım.
Bu virüsten kurtulmanın tek yolu temadaki kodları silmek ve ilgili bölümdeki dosyaları silmek.
Temanın functions.php dosyasının üst kısmında şifrelerle başlayan bir bölüm var, bu kısmı güzel bir silin;

 

 

bu yukarıda paylaşılan kod parçacığını temanın function.php dosyasında ilk satırından başlayarak php ile alakalı ilk tırnağın bitimine kadar silmeniz lazım zaten az çok php bilginiz varsa anlayacaksnıız ” ?> ” işte buraya kadar silinecek sonra zaten asıl temanızın function içeriği tekrar tırnak açıp php kodu ile yazılmaya başlıyor.

Ardından /wp-includes/ klasörünüze girin ve wp-tmp.php ve wp-vcd.php isimli iki dosyayı silin. Pop-up reklamından kurtuldunuz.

İnternet ortamında emeğe göz dikenler çok fazla. Lütfen functions.php dosyanızı kontrol edin.

Ek olarak Wordfence Security – Firewall & Malware Scan eklentisini kurmayı ihmal etmeyin,bu eklenti bu tip kodları kaldırıyor ve bulaşmasını da önlüyor.

Kaynak : https://www.nusretdogru.com/wordpress-virus-temizleme-pop-up-reklam-viruslerine-son/

 

evet yukarıda anlatıldığı gibi “functions” dosyasını temizi ile değiştirmeniz olacaktır. Daha sonra “wp-includes” içerisinde “wp-tmp” siliniz. “wp-feed” içerisine giriş yapan ipleri kayıt altında tutuyor. Bunu da siliniz. Son olarakta tema dosyası içerisine .htaccess oluşturup içerisine

Eklemeniz yeterli olacaktır.

Son olarak wordpress sürümünüzü güncel tutmanız çok önemli eski sürümlerde açıklar tesbit edildikçe wordpress güncellemelerle bu açıkları kapatıyor siz güncellemezseniz risk daha da artıyor.

 

 

Kısaca kurtulmak istiyorsanız

1. sunucu yada resellerinizdeki tüm WordPress sitelerini kontrol edin. 
2. null nulled olarak indirdiğiniz her bir Eklenti veya temayı devre dışı bırakın ve ortadan kaldırın 
3. Tüm dosya fonksiyonlarını arayın. 
4 Arama dosyaları:

wp-feed.php 
wp-vcd.php 
wp-tmp.php bu dosyalar wp-includes içine temadaki function.php dosyasına yerleşen virüs nedeni ile sürekli kopyalanır ve belli aralıklarla bilinmeyen yerlere veriler gönderir/alır

– Bu kodları function.php dosyasından çıkarmadan önce konumlarını değiştirebilir, bu dosyalar için belirlediğiniz yolun ne olduğunu görmek uygundur.

Bu, sunucudaki her etki alanının kurulumu temizlenmelidir.

Öneri: Başlamadan önce, her sitenin yedeğini alın.

Sitenin en son ne zaman değiştirildiğini bilmek için, klasörleri değişiklik tarihine göre listeleyin.

Genel olarak, içinde bir şeyler değiştirildiğinde, tarih değişir ve bu bize kötü niyetli kodları nerede saklanabileceğine dair bir ipucu verir.

 

Ek olarak bu virüsü yapan çakal o kadar ince düşünmüş ki eğer admin girişi yapıp siteye girersen siten gayet normal oluyor virüs pasif konuma geçiyor ve webmaster olarak sen hiç fark edemiyorsun rezil çakal arkadaş sen var ya seeen 😀 ama bak çözdük senin pisliğini hallettik dostum 😉

 

[Toplam:1    Ortalama:5/5]