Você sabe como remover o vírus npDcheckClassBgp do WordPress?

Nesse artigo vou explicar como ele ataca e qual o passo a passo para remoção total do vírus npDcheckClassBgp.

ATUALIZADO EM 28/05/2020

Essa semana atendi um cliente do Workana com a seguinte constatação:

Meu site foi hackeado! Ao clicar pela primeira vez em alguns links do meu site ele me redireciona para XXXXXXXXX.com. Preciso de ajuda para remover este vírus.

Como o cliente já tinha um volume de acessos considerável ao site, isso é um baita problema!

Devo admitir que fiquei muito impressionado com a engenhosidade do plugin e vou explicar porque. O método de ataque é relativamente comum, o vírus faz a substituição dos links originais do site pelos maliciosos na primeira interação do usuário e depois volta a exibir os links corretos. Porém, a grande diferença é que ele cria um banco de dados com todos os IPs de visitantes que já clicaram em um link malicioso e a princípio, não infecta mais tais máquinas por um determinado espaço de tempo. Além disso, os IPs dos administradores do site entram nesta lista e não são infectados.

Como o ataque não é constante ou “visível” pelas máquinas dos usuários admin do WP, este vírus passou por muito tempo impune… Até agora!

Como remover o vírus npDcheckClassBgp do WordPress

Passo 1: Certifique-se de que o seu site foi infectado. Abra o arquivo functions.php do seu tema ativo e procure pela seguinte informação: @include( ‘template-config.php’ );.

Passo 2: Apague esta linha de código;

Passo 3: No início do arquivo functions.php do seu tema, localize a seguinte constatação (possivelmente entre as linhas 1 e 86):

<?php
/**
* Main WordPress API
[………….]
$npDcheckClassBgp = ‘aue’;
}
?>

Passo 4: Apague tudo isso encontrado no passo 3, mas cuidado! Você ainda deve deixar a tag de apertura do php do seu tema (<?php) para que não cause erros em seu site.

Passo 5: Apague todos os temas inativos do seu site ou, se preferir, repita os passos 1 a 4 em todos os inativos.

Passo 6: Através de um acesso FTP, abra a pasta wp-admin/css e apague o arquivo “.bt” (é nele que ficam salvos os IPs já atacados).

Passo 7 (novo): Através de um acesso FTP, abra o arquivo wp-includes/functions.php e apague o mesmo que foi apagado no passo 3.

Passo 8: Acesse o banco de dados do seu site e apague as tabelas: {prefix}pcachewpr e {prefix}lcachewpr, onde “{prefix}” é o prefixo das suas tabelas do WP;

Passo 8 (extensão): segundo o relato do Nícolas Sanfer aqui nos comentários do post, é provável que o vírus agora implemente também uma terceira tabela chamada {prefix}lmcachewpr . Então caso você se depare com esta tabela, pode apagar ela também!

Pronto! Agora seu site está livre do vírus npDcheckClassBgp!

Outros vírus comuns no WordPress

Caso você ainda esteja tendo problemas com site wordpress com vírus e este passo a passo não conseguiu ajudar, nós temos também tutoriais de remoção de vírus para os seguintes:

Demon Image

Se apresenta como “erro” no painel administrativo do WordPress onde os usuários com perfil Administrador não conseguem atualizar o WordPress ou plugins e temas instalados. Saiba mais sobre ele neste artigo.

Infecção por vulnerabilidades

Todos temos falhas, e os plugins e temas para WordPress não são diferentes. neste artigo nós comentamos sobre a falha de segurança no plugin Popup Builder. Saiba mais neste artigo.

Dicas extras

Eu recomendo fortemente o uso do WordFence e estes outros plugins na sua instalação do WordPress.

Caso tenha ficado com alguma dúvida ou não se sentir seguro para realizar estes procedimentos em seu site, me mande uma mensagem para resolvermos esse problema!

4 thoughts on “Como remover o vírus npDcheckClassBgp do WordPress

  1. Nicolas says:

    Hola,
    Tuve el mismo vírus en un cliente.
    En vez de 2 tablas tueve que eliminar 3 tablas
    — {prefix}pcachewpr
    — {prefix}lcachewpr
    — {prefix}lmcachewpr
    Saludos

  2. Abdullah says:

    Hello there

    I was able to see {prefix} pcachewpr and {prefix} lcachewpr but nothing else ? so do i still need to delete them ? in fact are these from wordpress or just random ?

    • Vinicius Verner says:

      Hi Abdullah!
      These tables are not part of the standard WordPress, as far as I could analyze, they are used only by malware.
      I recommend that you back up your database and then delete the two tables in question.
      Since you were unable to locate the malicious codes, I believe you will wait a few days after you delete the tables and verify that they have not been recreated.
      Please keep us updated on your situation so that we can help others with this problem!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *