Como remover vírus npDcheckClassBgp do WordPress? Nesse artigo vou explicar como ele ataca e qual o passo a passo para remoção total do vírus npDcheckClassBgp.

ATUALIZADO EM 27/11

Essa semana atendi um cliente do Workana com a seguinte constatação:

Meu site foi hackeado! Ao clicar pela primeira vez em alguns links do meu site ele me redireciona para XXXXXXXXX.com. Preciso de ajuda para remover este vírus.

Como o cliente já tinha um volume de acessos considerável ao site, isso é um baita problema!

Devo admitir que fiquei muito impressionado com a engenhosidade do plugin e vou explicar porque. O método de ataque e relativamente comum, o vírus faz a substituição dos links originais do site pelos maliciosos na primeira interação do usuário e depois volta a exibir os links corretos. Porém, a grande diferença é que ele cria um banco de dados com todos os IPs de visitantes que já clicaram em um link malicioso e a princípio, não infecta mais tais máquinas por um determinado espaço de tempo. Além disso, os IPs dos administradores do site entram nesta lista e não são infectados.

Como o ataque não é constante ou “visível” pelas máquinas dos usuários admin do WP, este vírus passou por muito tempo impune… Até agora!

Como remover o vírus npDcheckClassBgp do WordPress

Passo 1: Certifique-se que foi infectado. Abra o arquivo functions.php do seu tema ativo e procure pela seguinte informação: @include( ‘template-config.php’ );.

Passo 2: Apague esta linha de código;

Passo 3: No início do arquivo functions.php do seu tema, localize a seguinte constatação (possivelmente entre as linhas 1 e 86:

<?php
/**
* Main WordPress API
[………….] $npDcheckClassBgp = ‘aue’;
}
?>

Passo 4: Apague tudo isso encontrado no passo 3, mas cuidado! Você ainda deve deixar a tag de apertura do php do seu tema ( <?php ) para que não cause erros em seu site.

Passo 5: Apague todos os temas inativos do seu site ou, se preferir, repita os passos 1 a 4 em todos os inativos.

Passo 6: Através de um acesso FTP, abra a pasta wp-admin/css e apague o arquivo “.bt” (é nele que ficam salvos os IPs já atacados)

Passo 7 (novo): Através de um acesso FTP, abra o arquivo wp-includes/functions.php e apague o mesmo que foi apagado no passo 3

Passo 8: Acesso o banco de dados do seu site e apague as tabelas: {prefix}pcachewpr e {prefix}lcachewpr. Onde “{prefix}” é o prefixo das suas tabelas do WP;

Passo 8 (extensão): segundo o relato do Nícolas Sanfer aqui nos comentários do post, é provável que o vírus agora implemente também uma terceira tabela chamada {prefix}lmcachewpr . Então caso você se depare com esta tabela, pode apagar ela também!

Pronto! Agora seu site está livre do vírus npDcheckClassBgp!

Dicas extras

Eu recomendo fortemente o uso do WordFence e estes outros plugins na sua instalação do WordPress.

Caso tenha ficado com alguma dúvida ou não se sentir seguro para realizar estes procedimentos em seu site, me manda uma mensagem para resolvermos esse problemão!

One thought on “Remover vírus npDcheckClassBgp do WordPress

  1. Nicolas says:

    Hola,
    Tuve el mismo vírus en un cliente.
    En vez de 2 tablas tueve que eliminar 3 tablas
    — {prefix}pcachewpr
    — {prefix}lcachewpr
    — {prefix}lmcachewpr
    Saludos

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *