• Olá amigos, tudo bom?

    Já há alguns meses vivo recebendo avisos de picos de utilização de CPU por uma única conta hospedada no meu servidor (VPS/Semidedicado com Centos) que usa WordPress.

    Recentemente tenho recebido avisos do “maldet” como esse:

    HOST: ENDEREÇO-DO-MEU-SERVIDOR.com.br
    SCAN ID: 160519-0339.2717
    STARTED: May 19 2016 03:39:22 -0300
    COMPLETED: May 19 2016 03:42:48 -0300
    ELAPSED: 206s [find: 86s]

    PATH: /home*/*/public_html/ /var/www/html/ /usr/local/apache/htdocs/
    RANGE: 1 days
    TOTAL FILES: 15934
    TOTAL HITS: 2
    TOTAL CLEANED: 0

    FILE HIT LIST:
    {HEX}php.include.remote.458 : /home/CLIENTE/public_html/wordpress/wp-content/cache/object/000000/a2c/78f/a2c78f7a4dc3369f98604e5a49651daf.php => /usr/local/maldetect/quarantine/a2c78f7a4dc3369f98604e5a49651daf.php.628125402
    {HEX}php.include.remote.458 : /home/CLIENTE/public_html/wordpress/wp-content/cache/object/000000/474/618/474618829021c50e66d558f247546598.php => /usr/local/maldetect/quarantine/474618829021c50e66d558f247546598.php.45929903
    ===============================================
    Linux Malware Detect v1.5 < proj@rfxn.com >

    Então, vou ao terminal e passo o ClamAV para buscar e remover possíveis malwares e sempre são localizados dois arquivos (e removidos com sucesso), como este:

    /home/CLIENTE/public_html/wordpress/wp-content/cache/object/000000/a2c/78f/a2c78f7a4dc3369f98604e5a49651daf.php: {HEX}php.include.remote.458.UNOFFICIAL FOUND
    /home/CLIENTE/public_html/wordpress/wp-content/cache/object/000000/a2c/78f/a2c78f7a4dc3369f98604e5a49651daf.php: Removed.

    Isto é normal? Seria um malware dentro do WordPress? Como faço para removê-lo?

    Esta conta (entre cerca de 30 que também usam WordPress) é a única que apresenta este tipo de problema.

    O site em questão seria este: http://www.terraplenagem.net

    Desde já, muito obrigado.

Visualizando 4 respostas - 1 até 4 (de um total de 4)
  • Não, isso não é normal e não é tão simples de resolver.

    Primeiro passo é ler isso:

    https://codex.wordpress.org/pt-br:Site_Invadido

    Segundo é ler isso:

    http://wpsecuritychecklist.org/br/items/

    Criador do tópico umarizal

    (@umarizal)

    Será que existe algum profissional capaz de realizar o procedimento para limpar totalmente e que seja confiável e trabalhe com um preço acessível?

    Eu já fiz todo o processo citado no primeiro site indicado mas continua.

    Até pensei em ser um falso positivo, porém, tenho outras dezenas de sites rodando WordPress e a maioria deles com os mesmos plugins e templates personalizados criados por mim mesmo usando Artisteer e não apresentam o problema, o único é o indicado.

    Detalhe: A detecção do Maldet / ClamAV só ocorre quando o Total Cache está ativado…

    Já usei o Wordfence (acho que é esse o nome) e não detectou nada. Existe algum plugin que serviria como “antimalware” ou “antivirus” para WordPress?

    Já uso o AIOWP Security.

    Desde já, muito obrigado.

    Rapaz tive um problema parecido uma vez, sendo que no meu caso eu não percebia nada o virus atacava o servidor de hospedagem, a empresa apagou todo meu site, eu perdi tudo e tive de fazer de novo do zero porque meu back up, estava num outro pc meu que está parado, enfim o erro era no tema que estava com vírus, e ele estava num arquivo chamado social.png que na verdade não era uma imagem, te sugiro chegar desativar um por um os pluguins que você instalou para ver se resolve, se não resolver entre nos arquivos do seu tema e cheque todas as imagens para ver se são imagens realmente ou não, depois analise cada linha de código de seu template e procure por funções ou links estranhos.

    Criador do tópico umarizal

    (@umarizal)

    Amigos, fiz o seguinte:
    1) Fiz backup dos arquivos e do banco de dados;
    2) Desativei todos os plugins e os removi;
    3) Desativei todos os temas adicionais (1 personalizado criado por mim através do Artisteer, deixando só o original do WordPress);
    4) Excluí TODOS os arquivos do servidor, com exceção do wp-config, que editei para verificar e estava limpo;
    5) Alterei o nome da conta no servidor (aquela /home/CONTA/public-html);
    6) Alterei o nome do banco de dados e do usuário do banco de dados;
    7) Abri o banco de dados pelo PhpMyAdmin e apaguei todas as tabelas não “originais” do WordPress;
    8) Vasculhei o banco de dados por informações “estranhas” em relação a uma instalação limpa (fiz a comparação com outra conta limpa);
    9) Upei todos os arquivos do WordPress (limpo, baixado no site oficial);
    10) Refiz o tema personalizado no Artisteer e upei novamente, do zero.
    11) Reinstalei (tive que baixar novamente 1 por 1) os plugins.

    Depois de todo esse trabalho, é só ativar o W3TotalCache e recebo notificação do Maldet sobre o que já foi citado lá encima no início do post.

    Sinceramente? Não entendo… tô quase achando que isso é um falso positivo… mas o load alto que me deixa louco, pois geralmente, ocorre em um único momento no dia, como se fosse algo programado.

    Será que se eu desativar o wp-cron (o WordPress ainda usa ele?) pode resolver?

Visualizando 4 respostas - 1 até 4 (de um total de 4)
  • O tópico ‘Remover Malware do WordPress’ está fechado para novas respostas.