Jak odzyskać hack po złośliwym przekierowaniu?

Jedną z najpopularniejszych taktyk złośliwych napastników jest dodawanie złośliwego przekierowującego złośliwego oprogramowania do witryny w celu kierowania ruchu do innej witryny. Może to być szkodliwe nie tylko dla właściciela witryny, ale także dla odwiedzających witrynę. Złośliwe przekierowanie często przenosi niczego niepodejrzewającego odwiedzającego witrynę do witryn ze spamem, a nawet witryn, które mogą zainfekować komputer użytkownika złośliwym oprogramowaniem, które może być trudne do wyeliminowania.

W tym poście porozmawiamy o tym, czym jest złośliwe oprogramowanie przekierowujące, dlaczego hakerzy stosują tę taktykę, jak ustalić, czy Twoja witryna jest dotknięta tym złośliwym oprogramowaniem, a także o niektórych możliwych rozwiązaniach odzyskiwania witryny po skutkach złośliwego oprogramowania przekierowującego .

Ponadto przedstawimy kilka ważnych kroków, które zapewnią, że Twoja witryna pozostanie chroniona po odzyskaniu.

Co to jest złośliwe oprogramowanie przekierowujące?

Złośliwe przekierowanie to kod, zwykle Javascript, który jest wstawiany do witryny w celu przekierowania odwiedzającego witrynę na inną witrynę. Często to złośliwe złośliwe oprogramowanie jest dodawane do witryny WordPress przez atakujących w celu wygenerowania wyświetleń reklam w innej witrynie. Jednak niektóre złośliwe przekierowania mogą mieć poważniejsze konsekwencje. Poważniejsze złośliwe przekierowanie może wykorzystać potencjalne luki w zabezpieczeniach komputera odwiedzającego witrynę. Ten typ złośliwego oprogramowania ma na celu zainstalowanie złośliwego oprogramowania, które infekuje komputer osobisty złośliwym złośliwym oprogramowaniem, które może być bardzo szkodliwe dla komputera Mac lub Windows użytkownika.

Ustalanie, czy Twoja witryna jest zainfekowana

Właściciele witryn mogą nie wiedzieć, że ich witryna przekierowuje. Często złośliwe przekierowania są ukryte, dzięki czemu przekierowywani są tylko nieuwierzytelnieni (użytkownicy, którzy nie są zalogowani). Lub może wykryć przeglądarkę, z której korzysta użytkownik podczas odwiedzania witryny, i przekierować tylko do tej konkretnej przeglądarki. Na przykład, jeśli zamierzają wykorzystać komputer osobisty za pomocą złośliwego oprogramowania, które może infekować tylko podatne na ataki wersje Chrome, przekierowane zostaną tylko te, które używają tej wersji wykrytej przez złośliwy skrypt. Może zająć trochę dochodzenia, aby ustalić, co się dzieje.

Właściciel witryny może spróbować zreplikować przekierowanie zgłoszone przez klienta tylko po to, by sprawdzić, czy wszystko wygląda dobrze na jego komputerze. Odwiedzający witrynę na platformach mobilnych mogą w tym samym czasie doświadczyć złośliwej aktywności. Przekierowanie może wystąpić na niektórych stronach, a na innych nie. Lub może się to zdarzyć, zanim witryna się załaduje.

Dlaczego moja witryna WordPress przekierowuje do innej witryny?

Jeśli Twoja witryna przekierowuje, istnieje kilka metod, za pomocą których atakujący mogą utworzyć przekierowanie. Oczywiście mogą to być bardzo ważne sposoby tworzenia przekierowań, jednak w przypadku złośliwych wystąpień zdecydowanie nie leżą one w najlepszym interesie użytkownika witryny. Oto kilka metod, których używają atakujący do przekierowywania. Podstawowe metody przekierowania obejmują przekierowanie .htaccess lub przekierowanie JavaScript. W rzadkich przypadkach możesz znaleźć nagłówek HTTP (np. przekierowanie META HTTP-EQUIV=REFRESH), ale są one rzadkie. W wielu przypadkach przekierowanie jest zaciemnione, co oznacza, że ​​funkcje są używane do ukrycia prawdziwej intencji kodu. Takie zaciemnianie jest często pierwszym kluczem do tego, że coś jest nie tak, ale atakujący obstawiają, że większość właścicieli witryn WordPress będzie zastraszana przez zaciemnianie i nie będzie chciała kopać głębiej.

Gdzie dokładnie znajduje się infekcja przekierowania?

Istnieje kilka obszarów, w których hakerzy wstawiają swój złośliwy kod, aby spowodować włamanie na WordPress przez przekierowanie.

1. Pliki PHP

Atakujący może zainfekować Twoją witrynę, wstawiając kod do dowolnego z głównych plików WordPressa. Oto niektóre z plików, które mogą zawierać złośliwy kod powodujący problem:

Atakujący mogą zainfekować witrynę, wstrzykując kod w dowolnym z podstawowych plików WordPressa. Sprawdź te pliki pod kątem złośliwego kodu. Jeśli nie masz pewności, który kod jest złośliwy, a który nie, zawsze możesz porównać pliki ze znanymi dobrymi kopiami rdzenia WordPressa lub plikami motywu i wtyczek

• index.php
• wp-config.php
• wp-settings.php
• wp-load.php
• .htaccess
• Pliki motywów (wp-content/themes/{themeName}/)
  • header.php
  • funkcje.php
  • stopka.php

2. Pliki JavaScript

Niektóre warianty przekierowującego złośliwego oprogramowania będą miały wpływ na wszystkie pliki JavaScript (.js) w Twojej witrynie. Obejmuje to pliki JavaScript we wtyczce, foldery motywów i wp-includes.

Zazwyczaj ten sam złośliwy kod zostanie dodany na samej górze lub na dole każdego pliku JavaScript.

3. Plik .htaccess

Twój plik .htaccess to zestaw dyrektyw, które informują serwer WWW, co ma zrobić, gdy tylko otrzyma żądanie od odwiedzającego witrynę. Angażuje się przed PHP, przed jakimikolwiek wywołaniami do bazy danych i może wykryć pewne „zmienne środowiskowe”, które informują serwer nieco o systemie, w którym znajduje się użytkownik, na przykład o jego przeglądarce, typie komputera, a nawet o tym, czy żądanie ponieważ strony Twojej witryny pochodzą z robota wyszukiwarki.

Jeśli nie wiesz, jak wygląda normalny plik .htaccess WordPressa, znaczna część kodu w .htaccess może być myląca. A jeśli pobierzesz plik .htaccess na dysk twardy, aby przyjrzeć mu się głębiej, często może zniknąć na wielu komputerach osobistych, uznając ten typ pliku za „ukryty plik”.

Bardzo częsty atak w branży farmaceutycznej polegający na dodaniu złośliwego kodu do pliku .htaccess często przekierowuje odwiedzających witrynę tylko wtedy, gdy przechodzą oni ze strony wyników wyszukiwania.

Hakerzy umieszczają swój złośliwy kod w taki sposób, że nie można go znaleźć ukrytego w pliku, chyba że przewiniesz go daleko w prawo. To znacznie utrudnia wykrycie i usunięcie tych hacków.

3. Baza danych WordPress

Tabele wp_options i wp_posts to zazwyczaj tabele w bazie danych WordPress, które są celem hakerów wprowadzających złośliwe przekierowania. Kod JavaScript można znaleźć w każdym z Twoich postów, a nawet we wszystkich. Często możesz również znaleźć przekierowania w tabeli wp_options, jeśli są ukryte w widżetach.

4. Fałszywe pliki favicon.ico

Istnieje złośliwe oprogramowanie, które utworzy losowy plik .ico lub fałszywy plik favicon.ico na serwerze Twojej witryny, który będzie zawierał złośliwy kod PHP. Te pliki .ico będą zawierać złośliwe przekierowanie, które jest następnie umieszczane w innym pliku w Twojej witrynie.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Szybkie odzyskiwanie ze złośliwego przekierowania

Jeśli zostałeś trafiony złośliwym przekierowaniem, najszybszym i najłatwiejszym sposobem odzyskania tego typu złośliwego oprogramowania jest przywrócenie danych ze znanej dobrej kopii zapasowej. Jeśli regularnie wykonujesz kopie zapasowe swojej witryny za pomocą BackupBuddy, to wiesz, że masz ostatnią kopię zapasową, która zawiera dobrą kopię witryny. Przywracanie witryny ze znanej dobrej kopii zapasowej to doskonały sposób na szybkie przywrócenie jej do działania.

Oczywiście, jeśli prowadzisz witrynę, której zawartość często się zmienia, najlepszą ochroną przed złośliwym przekierowaniem jest dobra niedawna kopia zapasowa i wykrywanie włamań, dzięki czemu szybko otrzymasz powiadomienie o problemie. W ten sposób możesz szybko podjąć działania i zminimalizować przestoje.

Oczywiście, musisz sięgnąć do swoich dzienników dostępu, aby ustalić, w jaki sposób haker również dostał się do umieszczenia przekierowania.

Uwaga na temat domen dodatkowych

Jednym z najczęstszych sposobów hakowania witryn WordPress jest korzystanie z nieobsługiwanych domen dodatkowych lub dodatkowych instalacji WordPress na koncie hostingowym. Może skonfigurowałeś witrynę testową, aby sprawdzić, czy coś może działać na tym samym koncie, i zapomniałeś o tej instalacji. Haker odkrywa go i wykorzystuje luki w nieutrzymywanej witrynie, aby zainstalować złośliwe oprogramowanie w witrynie głównej. A może masz witrynę członka rodziny również hostowaną w tej samej przestrzeni, aby zaoszczędzić pieniądze, ale ponownie używają złamanych haseł.

Zawsze najlepiej jest mieć jedną witrynę WordPress na jednym koncie hostingowym lub jeśli korzystasz z wielu witryn na tym samym koncie hostingowym, upewnij się, że są one odizolowane od siebie i używają innego użytkownika na serwerze dla każdej witryny. W ten sposób nie może dojść do zanieczyszczenia krzyżowego z jednego wrażliwego miejsca do innego sąsiedniego miejsca.

Jeśli masz więcej niż jedną witrynę na swoim koncie hostingowym, musisz traktować wszystkie witryny działające w tej samej przestrzeni (np. wszystkie witryny działające w ramach public_html) tak, jakby wszystkie były zanieczyszczone złośliwym oprogramowaniem przekierowującym. Jeśli masz taki przypadek, upewnij się, że każdy z tych kroków jest wykonywany dla każdej witryny w tym wystąpieniu hostingu. Jeśli nie masz pewności, skontaktuj się z dostawcą usług hostingowych.

Skanowanie witryny w poszukiwaniu złośliwego oprogramowania przekierowującego WordPress

Jeśli nie masz ostatniej czystej kopii zapasowej, nadal możesz samodzielnie usunąć złośliwe oprogramowanie. Może to być żmudnym procesem i będziesz musiał szukać czegoś więcej niż tylko przekierowywania złośliwego oprogramowania. Najczęściej złośliwemu oprogramowaniu przekierowującemu towarzyszy inne złośliwe oprogramowanie, w tym backdoory i nieuczciwi użytkownicy administracyjni, a także musisz ustalić, w jaki sposób haker dostał się do środka, często nazywany „wektorem włamań”. Brak holistycznego podejścia do usuwania złośliwego oprogramowania gwarantuje, że problem z przekierowaniami powróci.

iThemes Security Pro ma funkcję wykrywania zmian plików, która ostrzega Cię, jeśli w Twojej witrynie pojawią się jakiekolwiek zmiany plików, takie jak zmiany, które wskazywałyby na przekierowanie lub backdoory.

Oto nasz zalecany proces usuwania złośliwego oprogramowania.

1. Utwórz kopię zapasową witryny

Tak, nawet jeśli witryna jest zainfekowana, warto zachować dowody tego, co się wydarzyło. Rozważ każde zhakowanie miejsca zbrodni, a będziesz chciał wiedzieć, co się stało i kiedy. Sygnatury czasowe plików będą pomocne w dochodzeniu, gdy określisz, w jaki sposób doszło do włamania, dzięki czemu możesz zapobiec jego ponownemu wystąpieniu.

2. Określ, czy musisz wyłączyć witrynę

W przypadku złośliwego przekierowania możesz tymczasowo wyłączyć witrynę w celu konserwacji. Nie wszystkie przekierowania to gwarantują, ale jeśli Twoja witryna przekierowuje do miejsca, które może uszkodzić komputer użytkownika, wyłączenie witryny na jakiś czas zapobiegnie dalszym uszkodzeniom.

Jeśli uważasz, że haker może nadal być aktywny w witrynie (jeśli nie wiesz, załóż, że jest), usunięcie witryny i uniemożliwienie jej dostępu może zapobiec dalszym szkodom.

Każda sytuacja będzie inna; musisz dokonać tej decyzji na podstawie tego, co się dzieje.

3. Skopiuj witrynę na dysk lokalny

Zachowując kopię zapasową, skopiuj witrynę na dysk lokalny. Zalecamy wykonanie czyszczenia na dysku lokalnym za pomocą edytora tekstu i porównanie lokalnie oraz przejrzenie wszystkich plików — od plików PHP i JavaScript po pliki .htaccess — w sytuacji lokalnej niedostępnej dla Internetu. W ten sposób masz kontrolowane środowisko do badania plików. Możesz pobrać nową kopię WordPressa, swojego motywu i wtyczek, a także porównać pliki z zaatakowaną witryną, aby zobaczyć, które pliki zostały zmienione, a które po prostu nie pasują. Istnieje wiele narzędzi do porównywania plików, których możesz użyć.

4. Usuń przekierowania i ukryte tylne drzwi

Przeglądając pliki, możesz zastąpić pliki zawierające złośliwe oprogramowanie znanymi dobrymi kopiami lub, jeśli czujesz się na tym komfortowo, możesz usunąć pliki, których nie powinno tam być (zazwyczaj backdoory) i wiersze kodu to nie powinno tam być z edytorem tekstu.

Sprawdź swój katalog /wp-content/uploads i wszystkie podkatalogi pod kątem plików PHP, których nie powinno tam być.

Niektóre pliki będą inne niż te, które pobierzesz z repozytorium WordPress.org. Pliki te obejmują plik .htaccess i plik wp-config.php. Będą one musiały zostać dokładnie przeanalizowane pod kątem jakiegokolwiek błędnego złośliwego kodu. Oba mogą zawierać przekierowania, a plik wp-config.php może zawierać backdoory.

5. Prześlij oczyszczone pliki na swój serwer

Aby usunąć całe złośliwe oprogramowanie naraz, uniemożliwiając dostęp do wszelkich tylnych drzwi, które były aktywne w zaatakowanej witrynie, prześlij wyczyszczoną witrynę sąsiadującą z zaatakowaną witryną. Na przykład, jeśli zhakowana witryna znajduje się w /public_html/, prześlij swoją czystą witrynę obok niej na /public_html_clean/. Tam zmień nazwę katalogu live /public_html/ na /public_html_hacked/ i zmień nazwę /public_html_clean/ na public_html. Zajmuje to tylko kilka sekund i minimalizuje przestoje, jeśli zdecydujesz się nie wyłączać witryny na początku procesu czyszczenia. Zapobiega to również próbie oczyszczenia zhakowanej witryny na żywo, która została zaatakowana, grając w „whack-a-mole” z aktywnym napastnikiem.

Teraz, gdy pliki zostały wyczyszczone, nadal masz trochę pracy do wykonania. Sprawdź dokładnie, czy witryna wygląda dobrze na interfejsie użytkownika, a także w wp-admin.

6. Poszukaj złośliwych administratorów

Poszukaj wszelkich złośliwych użytkowników administracyjnych, którzy zostali dodani do Twojej witryny. Przejdź do wp-admin> użytkownicy i sprawdź, czy wszyscy administratorzy są poprawni.

7. Zmień wszystkie hasła administracyjne

Rozważ wszystkie konta administratorów jako zagrożone i skonfiguruj nowe hasła dla wszystkich.

8. Chroń się przed złośliwymi rejestracjami

Przejdź do wp-admin> ustawienia> ogólne i upewnij się, że ustawienie „Członkostwo” o nazwie „Każdy może się zarejestrować” jest wyłączone. Jeśli potrzebujesz użytkowników do rejestracji, upewnij się, że „Nowa domyślna rola użytkownika” jest ustawiona tylko na subskrybenta, a nie na administratora lub redaktora.

9. Przeszukaj bazę danych w poszukiwaniu złośliwych linków

Przeszukaj bazę danych WordPress ręcznie pod kątem złośliwych funkcji PHP w podobny sposób, jak w przypadku znalezienia problemów w systemie plików. Aby to zrobić, zaloguj się do PHPMyAdmin lub innego narzędzia do zarządzania bazą danych i wybierz bazę danych, z której korzysta Twoja witryna.

Następnie wyszukaj terminy takie jak:

• Ewaluacja
• scenariusz
• Gzinflate
• Base64_decode
• Str_replace
• preg_replace

Po prostu bądź bardzo ostrożny, zanim cokolwiek zmienisz w bazie danych. Nawet bardzo mała zmiana, taka jak przypadkowe dodanie spacji, może spowodować awarię witryny lub uniemożliwić jej prawidłowe ładowanie.

10. Zabezpiecz witrynę

Ponieważ doszło do włamania, musisz założyć, że wszystko, co jest związane z Twoją witryną, zostało naruszone. Zmień hasło do bazy danych w panelu konta hostingowego i poświadczenia w pliku wp-config.php, aby witryna WordPress mogła zalogować się do bazy danych WordPress.

Zmień także hasło SFTP/FTP, a nawet hasło do cPanel lub konta hostingowego.

11. Sprawdź problemy z Google

Zaloguj się do Google Search Console i sprawdź, czy masz jakieś ostrzeżenia o złośliwej witrynie. Jeśli tak, przejrzyj je, aby sprawdzić, czy Twoje poprawki rozwiązały problem. Jeśli tak, poproś o recenzję.

12. Zainstaluj iThemes Security

Jeśli jeszcze nie zainstalowałeś i nie skonfigurowałeś iThemes Security, teraz jest najlepszy czas. iThemes Security to najlepszy sposób na ochronę witryny przed włamaniami

13. Zaktualizuj lub usuń wszelkie podatne oprogramowanie

Jeśli masz jakieś oprogramowanie, motywy, wtyczki lub rdzeń, które wymagają aktualizacji, zaktualizuj je teraz. Jeśli istnieje luka we wtyczce, której używasz, która nie została załatana (możesz to sprawdzić za pomocą iThemes Security), dezaktywuj i całkowicie usuń to oprogramowanie ze swojej witryny.

W tym momencie, jeśli zablokowałeś swoją witrynę, możesz usunąć powiadomienie o konserwacji, aby ponownie udostępnić witrynę.

Zapobiegaj kolejnemu wtargnięciu

Po zablokowaniu i uruchomieniu witryny bardzo ważne jest podjęcie kroków, aby zapobiec ponownemu włamaniu. Sprawdź swoje pliki dziennika, aby zobaczyć, jak doszło do włamania. Czy było to podatne oprogramowanie? Czy było to przejęte konto administratora? Czy było to zanieczyszczenie krzyżowe z sąsiedniej, nieutrzymywanej instalacji WordPressa? Wiedza o tym, jak doszło do włamania, poinformuje Cię o podjęciu kroków, aby nie powtórzyło się to w przyszłości.

Korzystanie z iThemes Security to ważny pierwszy krok w kierunku zapewnienia bezpieczeństwa witryny.

WordPress obsługuje obecnie ponad 40% wszystkich stron internetowych, więc stał się łatwym celem dla hakerów o złych zamiarach. Atakujący zakładają, że użytkownicy WordPressa mają mniejszą wiedzę na temat bezpieczeństwa, więc znajdują witryny WordPress, które nie są chronione i wykorzystują złe hasła, ponownie używane hasła lub podatne oprogramowanie, aby zdobyć przyczółek na niczego niepodejrzewających kontach hostingowych.

Raport DBIR firmy Verizon z 2022 r. donosi, że ponad 80% naruszeń można przypisać skradzionym poświadczeniom, a liczba skradzionych poświadczeń wzrosła o 30% jako główny wektor włamań w porównaniu z wykorzystaniem luk w zabezpieczeniach. Jest to jeden z powodów, dla których iThemes Security priorytetowo traktuje innowacje dotyczące poświadczeń użytkownika, takie jak hasła i uwierzytelnianie dwuskładnikowe, aby chronić witryny WordPress przed tymi włamaniami.

Jeśli w ogóle widziałeś coś w tym artykule, mamy nadzieję, że jak ważne jest poważne traktowanie bezpieczeństwa PRZED naruszeniem. Możesz zaoszczędzić niezliczone godziny kłopotów z przeglądaniem kodu za pomocą zaledwie kilku ustawień. Użyj BackupBuddy, aby znacznie ułatwić odzyskiwanie i chronić przed nieautoryzowanym dostępem za pomocą iThemes Security Pro.

Najlepsza wtyczka bezpieczeństwa WordPress do zabezpieczania i ochrony WordPressa

WordPress obsługuje obecnie ponad 40% wszystkich stron internetowych, więc stał się łatwym celem dla hakerów o złych zamiarach. Wtyczka iThemes Security Pro eliminuje zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczenie i ochronę witryny WordPress. To tak, jakby zatrudniać pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.

Uzyskaj iThemes Security Pro

Zespół redakcyjny iThemes

Co tydzień zespół zespołu iThemes publikuje nowe samouczki i zasoby WordPress, w tym cotygodniowy raport na temat luk w zabezpieczeniach WordPress. Od 2008 roku iThemes pomaga tworzyć, utrzymywać i zabezpieczać witryny WordPress dla siebie lub klientów. Nasza misja? Spraw, by życie ludzi było niesamowite .