Como se recuperar do hack de malware de redirecionamento malicioso

Uma das táticas mais populares de invasores maliciosos é adicionar malware de redirecionamento malicioso a um site com o objetivo de direcionar o tráfego para outro site. Isso pode ser prejudicial não apenas para o proprietário do site, mas também para os visitantes do site. Um redirecionamento malicioso geralmente leva um visitante desavisado do site a sites de spam ou até mesmo sites que podem infectar o computador do usuário com malware que pode ser difícil de eliminar.

Neste post, falaremos sobre o que é malware de redirecionamento malicioso, por que os hackers usam essa tática, como determinar se seu site é afetado ou não por esse malware e algumas soluções possíveis para recuperar seu site dos efeitos do malware de redirecionamento malicioso .

Além disso, descreveremos algumas etapas importantes para garantir que seu site permaneça protegido após a recuperação.

O que é malware de redirecionamento malicioso?

Um redirecionamento malicioso é um código, geralmente Javascript, que é inserido em um site com a intenção de redirecionar o visitante do site para outro site. Muitas vezes, esse malware malicioso é adicionado a um site WordPress por invasores com a intenção de gerar impressões de publicidade em outro site. No entanto, alguns redirecionamentos maliciosos podem ter implicações mais sérias. Um redirecionamento malicioso mais sério pode explorar vulnerabilidades potenciais no computador de um visitante do site. Esse tipo de malware visa instalar malware que infecta um computador pessoal com malware malicioso que pode ser muito prejudicial ao computador Mac ou Windows de um usuário.

Determinando se seu site está infectado

Os proprietários de sites podem não saber que seu site está redirecionando. Muitas vezes, os redirecionamentos maliciosos ficam ocultos para que apenas os usuários não autenticados (usuários que não estejam logados) sejam redirecionados. Ou pode detectar o navegador que o usuário está usando ao visitar o site e redirecionar apenas com esse navegador específico. Por exemplo, se eles pretendem explorar um computador pessoal com malware que só pode infectar versões vulneráveis ​​do Chrome, apenas aqueles que usam essa versão detectada pelo script malicioso serão redirecionados. Pode levar alguma investigação para determinar o que está acontecendo.

Um proprietário de site pode tentar replicar o redirecionamento que foi relatado por um cliente, apenas para ver que tudo parece bem para ele em seu computador. Os visitantes do site em plataformas móveis podem, ao mesmo tempo, experimentar atividades maliciosas. O redirecionamento pode acontecer em algumas páginas e não em outras. Ou pode acontecer antes mesmo do site carregar.

Por que meu site WordPress está redirecionando para outro site?

Se o seu site estiver redirecionando, existem alguns métodos que os invasores podem usar para criar um redirecionamento. Claro, todas essas podem ser formas muito válidas de criar um redirecionamento, no entanto, em casos mal-intencionados, isso definitivamente não é do interesse do visitante do site. Aqui estão alguns métodos que os invasores usam para redirecionar. Os métodos primários de redirecionamento incluem um redirecionamento .htaccess ou um redirecionamento Javascript. Em casos raros, você pode encontrar um cabeçalho HTTP (por exemplo, META HTTP-EQUIV=REFRESH redirecionamento), mas eles são raros. Em muitos casos, o redirecionamento é ofuscado, o que significa que as funções são usadas para ocultar a verdadeira intenção do código. Essa ofuscação geralmente é a primeira chave de que algo está errado, mas os invasores estão apostando que a maioria dos proprietários de sites WordPress será intimidada pela ofuscação e não quer se aprofundar.

Onde exatamente está localizada a infecção de redirecionamento?

Existem várias áreas em que os hackers inserem seu código malicioso para causar um hack de redirecionamento do WordPress.

1. Arquivos PHP

Um invasor pode infectar seu site inserindo código em qualquer um dos arquivos principais do WordPress. Estes são alguns dos arquivos que podem conter o código malicioso que está causando o problema:

Os invasores podem infectar o site injetando código em qualquer um dos arquivos principais do WordPress. Verifique esses arquivos em busca de código malicioso. Se você não tiver certeza de qual código é malicioso e qual não é, você sempre pode comparar os arquivos com boas cópias conhecidas do núcleo do WordPress ou seus arquivos de tema e plugin

• index.php
• wp-config.php
• wp-settings.php
• wp-load.php
• .htaccess
• Arquivos de tema (wp-content/themes/{themeName}/)
  • header.php
  • funções.php
  • footer.php

2. Arquivos JavaScript

Algumas das variantes de malware de redirecionamento afetarão todos os arquivos JavaScript (.js) em seu site. Isso incluirá os arquivos Javascript no plugin, pastas de temas e wp-includes.

E normalmente, o mesmo código malicioso será adicionado na parte superior ou inferior de cada arquivo JavaScript.

3. O arquivo .htaccess

Seu arquivo .htaccess é um conjunto de diretivas que informam ao seu servidor web o que fazer assim que receber uma solicitação de um visitante do site. Ele aciona antes do PHP, antes de qualquer chamada ao seu banco de dados, e pode detectar certas “variáveis ​​de ambiente” que informam ao seu servidor um pouco sobre o sistema em que um usuário está, como seu navegador, o tipo de computador e até mesmo se a solicitação para as páginas do seu site é proveniente de um rastreador de mecanismo de pesquisa.

Se você não estiver familiarizado com a aparência de um arquivo .htaccess normal do WordPress, grande parte do código em .htaccess pode ser confuso. E, se você baixar o arquivo .htaccess para o seu disco rígido para dar uma olhada mais profunda, muitas vezes ele pode desaparecer de você com muitos computadores pessoais considerando esse tipo de arquivo como um “arquivo oculto”.

O hack Pharma muito comum, onde o código malicioso é adicionado ao arquivo .htaccess, muitas vezes só redireciona os visitantes do site se eles forem provenientes de uma página de resultados do mecanismo de pesquisa.

Os hackers colocam seu código malicioso de uma maneira que você não consegue encontrá-lo oculto no arquivo, a menos que você role para a direita. Isso torna muito mais difícil identificar e remover esses hacks de redirecionamento.

3. O banco de dados do WordPress

As tabelas wp_options e wp_posts são normalmente as tabelas em um banco de dados WordPress que são alvo de hackers que inserem redirecionamentos maliciosos. O código Javascript pode ser encontrado incorporado em cada uma de suas postagens ou até mesmo em todas elas. Você também pode encontrar redirecionamentos em sua tabela wp_options se eles estiverem ocultos em widgets.

4. Arquivos favicon.ico falsos

Existe um malware que criará um arquivo .ico aleatório ou um arquivo favicon.ico nocivo no servidor do seu site, que conterá código PHP malicioso. Esses arquivos .ico conterão o redirecionamento malicioso que será incluído em outro arquivo em seu site.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Recuperando-se de um redirecionamento malicioso rapidamente

Se você foi atingido por um hack de redirecionamento malicioso, a maneira mais rápida e fácil de se recuperar desse tipo de malware é restaurar a partir de um backup bom e conhecido. Se você está fazendo backups regulares do seu site com o BackupBuddy, então você sabe que tem um backup recente que contém uma boa cópia do seu site. Restaurar seu site a partir de um backup bom conhecido é uma excelente maneira de fazer seu site voltar a funcionar rapidamente.

Obviamente, se você estiver executando um site com conteúdo que muda com frequência, a melhor defesa contra um redirecionamento malicioso é um bom backup recente e detecção de intrusão para que você seja alertado rapidamente sobre um problema. Dessa forma, você pode agir rapidamente e minimizar o tempo de inatividade.

Claro, então você deve recorrer aos seus logs de acesso para determinar como o hacker entrou para colocar o redirecionamento também.

Uma observação sobre domínios complementares

Uma das maneiras mais comuns de hackear sites do WordPress é a partir de domínios complementares não mantidos ou instalações adicionais do WordPress em sua conta de hospedagem. Talvez você tenha configurado um site de teste para ver se algo pode funcionar na mesma conta e esqueceu dessa instalação. Um hacker descobre e explora vulnerabilidades no site não mantido para instalar malware em seu site principal. Ou talvez você tenha o site do seu familiar também hospedado no mesmo espaço para economizar dinheiro, mas eles estão reutilizando senhas comprometidas.

É sempre melhor ter um site WordPress em uma conta de hospedagem ou, se você estiver usando vários sites na mesma conta de hospedagem, certifique-se de que eles estejam isolados um do outro e use um usuário baseado em servidor diferente para cada site. Desta forma, a contaminação cruzada de um local vulnerável para outro local adjacente não pode ocorrer.

Se você tiver mais de um site em sua conta de hospedagem, precisará tratar todos os sites rodando no mesmo espaço (por exemplo, todos os sites rodando em public_html) como se estivessem todos contaminados com malware de redirecionamento malicioso. Se você tiver um caso como esse, certifique-se de que cada uma dessas etapas seja executada para cada um dos sites dessa instância de hospedagem. Se você não tiver certeza, verifique com seu provedor de hospedagem.

Verificando seu site para malware de hack de redirecionamento do WordPress

Se você não tiver um backup limpo recente, ainda poderá remover o malware por conta própria. Fazer isso pode ser um processo tedioso e você precisará procurar mais do que apenas redirecionar malware. É mais comum que o malware de redirecionamento seja acompanhado por outro malware, incluindo backdoors e usuários administrativos desonestos, e você também precisará determinar como o hacker entrou, geralmente chamado de “vetor de intrusão”. Não adotar uma abordagem holística para a remoção de malware garante que o problema de redirecionamento volte.

O iThemes Security Pro possui um recurso de detecção de alteração de arquivo que o alertará se ocorrer alguma alteração de arquivo em seu site, como alterações que indicariam um hack de redirecionamento ou backdoors.

Aqui está o nosso processo de remoção de malware recomendado.

1. Faça backup do site

Sim, mesmo que o site esteja infectado, você deve preservar as evidências do que aconteceu. Considere qualquer hack como uma cena de crime, e você vai querer saber o que aconteceu e quando. Os carimbos de data/hora do arquivo serão úteis em sua investigação quando você determinar como a invasão aconteceu para evitar que ela aconteça novamente.

2. Determine se você precisa remover o site

Com um redirecionamento malicioso, você pode querer desativar temporariamente seu site para manutenção. Nem todos os redirecionamentos garantiriam isso, mas se seu site estiver redirecionando para um local que possa danificar o computador de um usuário, desativando o site por um tempo, evitaria mais danos.

Se você acha que o hacker ainda pode estar ativo no site (se você não sabe, suponha que ele esteja), derrubar o site e torná-lo inacessível pode evitar mais danos.

Cada situação será diferente; você precisará fazer essa determinação com base no que está acontecendo.

3. Copie o site para uma unidade local

Mantendo seu backup, copie o site para uma unidade local. Recomendamos fazer uma limpeza em uma unidade local usando um editor de texto e comparar localmente e revisar todos os arquivos — de seus arquivos PHP e Javascript a seus arquivos .htaccess — em uma situação local inacessível à Internet. Dessa forma, você tem um ambiente controlado para examinar os arquivos. Você pode baixar uma nova cópia do WordPress, seu tema e seus plugins e fazer comparações de arquivos com seu site invadido para ver quais arquivos foram alterados e quais arquivos simplesmente não pertencem. Existem inúmeras ferramentas de comparação de arquivos que você pode usar.

4. Remova redirecionamentos e backdoors ocultos

Ao examinar seus arquivos, você pode substituir os arquivos que contêm malware por boas cópias conhecidas ou, se estiver confortável em fazê-lo, pode remover os arquivos que não deveriam estar lá (geralmente backdoors) e as linhas de código que não deveria estar lá com um editor de texto.

Verifique seu diretório /wp-content/uploads e todos os subdiretórios para arquivos PHP que não deveriam estar lá.

Alguns arquivos serão diferentes de qualquer coisa baixada do repositório WordPress.org. Esses arquivos incluem seu arquivo .htaccess e seu arquivo wp-config.php. Estes terão de ser examinados de perto para qualquer código malicioso errante. Ambos podem conter redirecionamentos, e o arquivo wp-config.php pode conter backdoors.

5. Carregue seus arquivos limpos para o seu servidor

Para eliminar todos os malwares de uma vez, impedindo o acesso a qualquer backdoor ativo no site invadido, carregue o site limpo adjacente ao site invadido. Por exemplo, se o site invadido estiver em /public_html/, faça o upload do site limpo ao lado dele em /public_html_clean/. Uma vez lá, renomeie o diretório /public_html/ ativo para /public_html_hacked/ e renomeie o /public_html_clean/ para public_html. Isso leva apenas alguns segundos e minimiza o tempo de inatividade se você optar por não desativar o site no início do processo de limpeza. Também evita que você tente limpar um site ao vivo invadido sob ataque jogando “whack-a-mole” com um invasor ativo.

Agora que os arquivos estão limpos, você ainda tem algum trabalho a fazer. Verifique se o site está bem no front-end, bem como no wp-admin.

6. Procure usuários administradores mal-intencionados

Procure por usuários administrativos mal-intencionados que foram adicionados ao seu site. Vá para wp-admin > users e verifique se todos os usuários admin são válidos.

7. Altere todas as senhas administrativas

Considere todas as contas de administrador comprometidas e configure novas senhas para todos.

8. Proteja-se contra registros maliciosos

Vá para wp-admin> configurações> geral e certifique-se de que a configuração para “Associação” chamada “Qualquer pessoa pode se registrar” está desativada. Se você precisar que os usuários se registrem, certifique-se de que a “Nova Função Padrão do Usuário” esteja definida apenas como Assinante e não como Administrador ou Editor.

9. Pesquise no banco de dados por quaisquer links maliciosos

Pesquise manualmente em seu banco de dados WordPress por funções PHP maliciosas de maneira semelhante à que você fez para encontrar problemas no sistema de arquivos. Para fazer isso, faça login no PHPMyAdmin ou em outra ferramenta de gerenciamento de banco de dados e selecione o banco de dados que seu site está usando.

Em seguida, procure por termos como:

• Avaliação
• roteiro
• Gzinflar
• Base64_decode
• Str_replace
• preg_replace

Apenas seja extremamente cuidadoso antes de alterar qualquer coisa no banco de dados. Mesmo uma mudança muito pequena, como adicionar um espaço acidentalmente, pode derrubar seu site ou impedir que ele seja carregado corretamente.

10. Proteja o site

Como houve uma invasão, você precisa presumir que tudo associado ao seu site foi comprometido. Altere a senha do banco de dados no painel da conta de hospedagem e as credenciais no arquivo wp-config.php para que seu site WordPress possa fazer login no banco de dados WordPress.

Além disso, altere sua senha SFTP/FTP e até mesmo a senha do seu cPanel ou conta de hospedagem.

11. Verifique se há problemas com o Google

Faça login no Google Search Console e veja se você tem algum aviso de site malicioso. Em caso afirmativo, revise-os para ver se suas correções resolveram o problema. Se sim, peça uma avaliação.

12. Instale o iThemes Security

Se você ainda não instalou e configurou o iThemes Security, agora é a melhor hora. O iThemes Security é a melhor maneira de impedir que seu site seja invadido

13. Atualize ou remova qualquer software vulnerável

Se você tiver algum software, tema, plug-in ou núcleo que exija uma atualização, atualize-o agora. Se houver uma vulnerabilidade em um plug-in que você está usando que não foi corrigido (você pode verificar usando o iThemes Security), desative e remova completamente esse software do seu site.

Neste ponto, se você bloqueou seu site, poderá remover a notificação de manutenção para tornar seu site acessível novamente.

Prevenir outra intrusão

Depois de ter seu site bloqueado e ativo, é fundamental que você tome medidas para evitar que a intrusão aconteça novamente. Verifique seus arquivos de log para ver como a invasão aconteceu em primeiro lugar. Era um software vulnerável? Foi uma conta de usuário administrador comprometida? Foi contaminação cruzada de uma instalação adjacente e não mantida do WordPress? Saber como a intrusão aconteceu irá informá-lo para tomar medidas para evitar que isso aconteça novamente no futuro.

E, usar o iThemes Security é um primeiro passo importante para manter seu site seguro.

Atualmente, o WordPress alimenta mais de 40% de todos os sites, por isso se tornou um alvo fácil para hackers com intenções maliciosas. Os invasores assumem que os usuários do WordPress têm menos conhecimento de segurança, então eles encontram sites do WordPress que não são protegidos e exploram senhas ruins, senhas reutilizadas ou software vulnerável para obter uma posição em contas de hospedagem desavisadas.

O Relatório DBIR da Verizon para 2022 relata que mais de 80% das violações podem ser atribuídas a credenciais roubadas, e houve um aumento de 30% nas credenciais roubadas como principal vetor de intrusão versus exploração de vulnerabilidades. Essa é uma das razões pelas quais o iThemes Security prioriza inovações de credenciais de usuários, como chaves de acesso e autenticação de dois fatores para proteger os sites do WordPress dessas invasões.

Se você viu alguma coisa neste artigo, esperamos que seja importante levar a segurança a sério ANTES de uma violação. Você pode economizar incontáveis ​​horas de dores de cabeça revisando código com apenas alguns setps. Use o BackupBuddy para tornar a recuperação muito mais fácil e proteger contra acesso não autorizado usando o iThemes Security Pro.

O melhor plug-in de segurança do WordPress para proteger e proteger o WordPress

Atualmente, o WordPress alimenta mais de 40% de todos os sites, por isso se tornou um alvo fácil para hackers com intenções maliciosas. O plug-in iThemes Security Pro elimina as suposições da segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que monitora e protege constantemente seu site WordPress para você.

Obtenha o iThemes Security Pro

Equipe Editorial iThemes

A cada semana, a equipe da equipe iThemes publica novos tutoriais e recursos do WordPress, incluindo o Relatório Semanal de Vulnerabilidade do WordPress. Desde 2008, o iThemes se dedica a ajudá-lo a criar, manter e proteger sites WordPress para você ou para clientes. Nossa missão? Torne a Vida das Pessoas Incrível .