iFrames: Vírus para WordPress. Saiba como removê-lo do seu blog

Postado em 06. mar, 2010 por Rodrigo em Segurança

Comecei o mês de março com um probleminha para resolver. No rodapé dos meus blogs começou a aparecer uma tarja branca. Achei estranho e fui procurar no código do template onde estava o erro para corrigi-lo. Vasculhei todo o código e no index.php achei um código estranho bem no final. Removi e achei que havia solucionado o problema. Engano meu.

Aparecia essa tarja até no painel de administração do WordPress, o que me fez pensar que o problema não era só no template do DT e sim nos arquivos do WordPress. Também notei que era uma página “do além” visto que olhando nos códigos não conseguia achar nada referente àquele endereço. Descrevi o problema no fórum do WordPress mas não consegui uma solução.

Como tirar vírus do seu blog ou site

Entrei em contato com o suporte técnico da Pre-lude e o que eu temia aconteceu. Estava infectado com um vírus para WordPress.

Boa tarde! Pedi ao datacenter para verificar o código de iframes que aparece no seu site. Eles descobriram que estes arquivos foram modificados via FTP. Segundo o datacenter a senha do seu FTP/cPanel foi comprometida. Isto geralmente indica que o computador que você está utilizando para enviar os arquivos está infectado com spyware/malware/threat (que gera os iframes misteriosos)/vírus. Por gentileza verifique e remova-os de seu computador. Só assim você não terá mais estes iframes nas indexes do seu domínio. Se após todo o procedimento ainda assim o problema persistir significa que todo o seu WordPress foi contaminado. Nesse caso só deletando todos os arquivos e realizando uma nova instalação. Infelizmente não há como limpar o threat sem deletar os arquivos.

Pensei! Agora &%$&#!

Mas… Graças ao Google vi que o administrador do site Rei da Cocada Preta teve um problema bem parecido com o meu. Lendo o artigo me identifiquei com os “sintomas” e meti a cara nos códigos para tentar resolver o problema. Recomendo a leitura do artigo abaixo antes de prosseguir.

Como limpar o maldito vírus iframe que infectou o seu blog WordPress

Segui os passos do artigo acima. Basicamente os meus sites estavam com os mesmos problemas, porém meu site não chegou a ficar fora do ar por esses problemas.

Medidas que tomei para remover os iframes

1º) Instalar antivírus e anti-spywares e fazer uma varredura completa.
No meu caso já usava o Avira. Por precaução baixei o AVG e o Avast para refazer as varreduras. Também baixei o SUPER Anti-Spyware Free edition e fiz uma busca completa. Por precaução limpei completamente meu computador utilizando o cCleaner. Removi cookies, histórico, cache, etc. Desinstalei também o meu programa de FTP, o FileZilla, e removi todas as entradas de registro. Depois reinstalei novamente. Todos esses programas podem ser baixados no Baixaki.

Esses foram os primeiros passos que tomei e que me levaram algumas horas de trabalho.

2º) Por precaução acessei o cpanel através do meu notebook e alterei a senha do FTP. Caso tenha certeza que sua máquina esteja totalmente livre de vírus após a varredura, não há problema em alterar a senha diretamente do seu computador.

3º) Acessei o painel de controle do WordPress e desabilitei a maioria dos plugins que eu tinha instalado no blog. Mais tarde, notei que alguns códigos de plugins estavam infectados.

Nesse ponto meu maior medo era ter que reinstalar todo o WordPress e depois configurar todos os blogs novamente.

4º) Agora vem a parte mais chata. Esse vírus pode infectar qualquer arquivo php ou js, ou seja, não é como um vírus comum de computador onde você passa um antivírus e pronto. Esse malware insere pedaços de códigos maliciosos nos arquivos do seu blog.

No meu caso optei por baixar todos os meus sites para o computador e fui olhando arquivo por arquivo em busca de códigos maliciosos. Os códigos geralmente estavam, ou no começo do arquivo php ou js, ou no final, então não foi tão torturante. Abria vários arquivos ao mesmo tempo com o Notepad++ e quando achava algo estranho já removia e fazia o upload dos arquivos para o servidor.

Nos arquivos dos meus sites os códigos maliciosos foram inseridos em arquivos que geralmente tinham no nome “index”. Por esse motivo eu disse que seria interessante desabilitar os plugins, pois alguns deles têm vários arquivos php com a palavra ‘index’ em seus nomes.

Inicialmente eu segui os passos do artigo do Rei da Cocada Preta, e fui direto nos arquivos abaixo:

index.php in root folder (diretório raiz)

wp-config.php in root folder (diretório raiz)

index.php in wp-admin folder (diretório wp-admin)

index-extra.php in wp-admin folder (diretório wp-admin)

index.php in wp-contents\yourtheme\ folder (diretório wp-contents\themes\seu-tema-instalado)

home.php in wp-contents\yourtheme\ folder (diretório wp-contents\themes\seu-tema-instalado)

default-filters.php in wp-includes folder (diretório wp-includes)

Obs.: Apague os outros temas que porventura tenha instalado no seu diretório dos temas, pois o iFrame infecta também todos os index.php de outros temas.

No meu caso o vírus criou um arquivo “themes.php” na pasta onde estava os arquivos do template do meu site. Só descobri isso porque quando baixei os arquivos do servidor para minha máquina o antivírus me avisou que se tratava de um vírus. Comparei os arquivos que estavam no servidor com os arquivos do meu template sem alterações e notei que esse arquivo não fazia parte do template, então o removi. Mas cuidado, não saia apagando qualquer arquivo para não ter problemas piores. E, sempre que for fazer uma alteração, faça um backup.

Rodrigo
Sou o idealizador do Design Tecnológico. Formado em Sistemas de Informação e pós-graduado em Segurança. Apaixonado por tecnologia e internet.

4 Comentários to “iFrames: Vírus para WordPress. Saiba como removê-lo do seu blog”

  1. Rodrigo

    08. mar, 2010

    Eu acessei o seu site e se tem algum vírus meu antivirus não pegou.
    Mas geralmente esses vírus ficam nos arquivos php e js… no meu caso eu procurei os códigos maliciosos um a um…
    Foi a única forma que eu encontrei para não ter que reinstalar totalmente meu blog.

  2. Rodrigo

    08. mar, 2010

    Faça uma varredura completa no seu computador com um antivirus ou dois! Passe também um anti-spyware. Quando tiver certeza que o seu computador esteja limpo, troque a senha de acesso ao seu ftp.

    Essas foram as primeiras coisas que fiz já que a minha hospedagem disse que minha senha poderia estar comprometida.

    O virus geralmente injeta códigos maliciosos nos arquivos index, admin e nos js. Eu tive muitos códigos nos arquivos js do blog, inclusive em vários plugins.
    Eu desativei quase todos os meus plugins por um tempo.

    Depois baixei todo o código do site para meu pc e fui abrindo os arquivos no notepad++, apagando onde eu encontrava códigos malicios e fazendo o upload novamente.

    Deu trabalho, mas resolveu o problema. Só consegui resolver todos os problemas depois de retirar os códigos de todos os arquivos.

  3. Rodrigo

    09. mar, 2010

    Eu nunca instalei um versão anterior. Não se se pode acontecer algum problema.
    Eu sempre uso a versão mais recente do WordPress.. Atualmente estou com a 2.9.2

  4. Bruno Perin

    02. ago, 2010

    No meu caso tive esse tipo de problema, porém o “virus” apareceu no footer.php do meu tema (defaut). Estava listado antes de fechar body em apenas uma linha:

    Removi e “vualá”, tudo voltou ao normal.
    Uma dica é você acessar a data de modificação das pastas e arquivos do seu blog. Outra coisa que ainda estou analisando é se o único plugin instalado no blog pode ter causado essa falha de segurança (Twitter Tools).

    Abçs e boa sorte a todos.