Cum să vă recuperați de la Hackul malware de redirecționare rău intenționată

Publicat: 2022-10-18

Una dintre cele mai populare tactici ale atacatorilor rău intenționați este să adauge malware de redirecționare rău intenționat pe un site cu scopul de a conduce trafic către un alt site. Acest lucru poate fi dăunător nu numai proprietarului site-ului, ci și vizitatorilor site-ului. O redirecționare rău intenționată aduce adesea un vizitator nebănuit al site-ului pe site-uri de spam sau chiar pe site-uri care ar putea infecta computerul utilizatorului cu programe malware care pot fi dificil de eliminat.

În această postare, vom vorbi despre ce este malware de redirecționare rău intenționat, de ce hackerii folosesc această tactică, cum să determinați dacă site-ul dvs. este sau nu afectat de acest malware și câteva soluții posibile pentru a vă recupera site-ul de efectele malware-ului de redirecționare rău intenționată. .

De asemenea, vom sublinia câțiva pași importanți pentru a ne asigura că site-ul dvs. rămâne protejat odată recuperat.

Ce este malware de redirecționare rău intenționată?

O redirecționare rău intenționată este un cod, de obicei Javascript, care este inserat într-un site web cu intenția de a redirecționa vizitatorul site-ului către un alt site web. Adesea, acest malware rău intenționat este adăugat la un site web WordPress de către atacatori cu intenția de a genera impresii publicitare pe un alt site. Cu toate acestea, unele redirecționări rău intenționate pot avea implicații mai grave. O redirecționare rău intenționată mai serioasă poate exploata potențialele vulnerabilități din computerul unui vizitator al site-ului. Acest tip de malware urmărește să instaleze malware care infectează un computer personal cu malware rău intenționat care poate fi foarte dăunător pentru computerul Mac sau Windows al unui utilizator.

Stabilirea dacă site-ul dvs. este infectat

Proprietarii de site-uri ar putea să nu știe că site-ul lor redirecționează. Adesea, redirecționările rău intenționate sunt ascunse, astfel încât numai utilizatorii neautentificați (utilizatori care nu sunt autentificați) sunt redirecționați. Sau, poate detecta browserul pe care utilizatorul îl folosește atunci când vizitează site-ul și redirecționează numai cu acel browser. De exemplu, dacă urmăresc să exploateze un computer personal cu programe malware care pot infecta doar versiuni vulnerabile ale Chrome, vor fi redirecționați numai cei care folosesc acea versiune, așa cum este detectată de scriptul rău intenționat. Ar putea fi nevoie de o investigație pentru a determina ce se întâmplă.

Un proprietar de site ar putea încerca să reproducă redirecționarea care a fost raportată de un client, doar pentru a vedea că totul îi pare bine pe computerul său. Vizitatorii site-ului de pe platformele mobile pot experimenta, în același timp, activități rău intenționate. Redirecționarea se poate întâmpla pe unele pagini și nu pe altele. Sau, s-ar putea întâmpla chiar înainte ca site-ul să se încarce.

Hack de redirecționare WordPress

De ce site-ul meu WordPress redirecționează către un alt site?

Dacă site-ul dvs. redirecționează, există câteva metode pe care atacatorii le pot folosi pentru a crea o redirecționare. Desigur, toate acestea pot fi modalități foarte valide de a crea o redirecționare, cu toate acestea, în cazuri rău intenționate, acestea nu sunt cu siguranță în interesul vizitatorului site-ului. Iată câteva metode pe care atacatorii le folosesc pentru a redirecționa. Metodele principale de redirecționare includ fie o redirecționare .htaccess, fie o redirecționare Javascript. În cazuri rare, s-ar putea să găsiți un antet HTTP (de exemplu, redirecționare META HTTP-EQUIV=REFRESH), dar acestea sunt rare. În multe cazuri, redirecționarea este ofuscată, ceea ce înseamnă că funcțiile sunt folosite pentru a ascunde adevărata intenție a codului. Această ofuscare este adesea prima cheie că ceva nu este în regulă, dar atacatorii pariază că majoritatea proprietarilor de site-uri WordPress vor fi intimidați de înfundare și nu vor dori să sape mai adânc.

Unde este localizată exact infecția de redirecționare?

Există mai multe zone în care hackerii își vor introduce codul rău intenționat pentru a provoca un hack de redirecționare WordPress.

1. Fișiere PHP

Un atacator vă poate infecta site-ul inserând cod în oricare dintre fișierele de bază ale WordPress. Acestea sunt câteva dintre fișierele care pot conține codul rău intenționat care cauzează problema dvs.:

Atacatorii pot infecta site-ul web prin injectarea de cod în oricare dintre fișierele de bază de pe WordPress. Verificați aceste fișiere pentru coduri rău intenționate. Dacă nu sunteți sigur ce cod este rău intenționat și ce nu este, puteți oricând să comparați fișierele cu copiile cunoscute de bază ale WordPress sau cu fișierele cu tema și pluginul dvs.

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • Fișiere cu teme (wp-content/themes/{themeName}/)
    • header.php
    • funcții.php
    • footer.php

2. Fișiere JavaScript

Unele dintre variantele de malware de redirecționare vor afecta toate fișierele JavaScript (.js) de pe site-ul dvs. Aceasta va include fișierele Javascript din plugin, folderele cu teme și wp-includes.

Și de obicei, același cod rău intenționat va fi adăugat chiar în partea de sus sau de jos a fiecărui fișier JavaScript.

3. Fișierul .htaccess

Fișierul dvs. .htaccess este un set de directive care spun serverului dvs. web ce trebuie să facă de îndată ce primește o solicitare de la un vizitator al site-ului. Se angajează înainte de PHP, înainte de orice apel la baza ta de date și poate detecta anumite „variabile de mediu” care spun puțin serverului tău despre sistemul pe care se află utilizatorul, cum ar fi browserul său, tipul de computer și chiar dacă cererea pentru paginile site-ului dvs. provine de la un motor de căutare crawler.

Dacă nu știți cum arată un fișier WordPress normal .htaccess, mare parte din codul din .htaccess poate fi confuz. Și, dacă descărcați fișierul .htaccess pe hard disk pentru a arunca o privire mai profundă, acesta poate dispărea adesea pe dvs. cu multe computere personale considerând acest tip de fișier ca un „fișier ascuns”.

Hackul farmaceutic foarte comun în care se adaugă cod rău intenționat în fișierul .htaccess va redirecționa adesea vizitatorii site-ului numai dacă provin de pe o pagină cu rezultate ale unui motor de căutare.

Hackerii își plasează codul rău intenționat într-un mod în care nu îl puteți găsi ascuns în fișier decât dacă derulați mult la dreapta. Acest lucru face mult mai greu de identificat și de îndepărtat aceste hack-uri de redirecționare.

3. Baza de date WordPress

Tabelele wp_options și wp_posts sunt de obicei tabelele dintr-o bază de date WordPress care sunt vizate de hackeri care inserează redirecționări rău intenționate. Codul Javascript poate fi găsit încorporat în fiecare dintre postările tale sau chiar în toate. Puteți găsi adesea redirecționări și în tabelul wp_options dacă sunt ascunse în widget-uri.

4. Fișiere favicon.ico false

Există programe malware care vor crea un fișier aleatoriu .ico sau un fișier favicon.ico necinstiți pe serverul site-ului dvs., care va conține cod PHP rău intenționat. Aceste fișiere .ico vor conține redirecționarea rău intenționată care este apoi inclusă într-un alt fișier de pe site-ul dvs.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Recuperarea rapidă dintr-o redirecționare rău intenționată

Dacă ați fost lovit de un hack de redirecționare rău intenționat, cel mai rapid și mai ușor mod de a vă recupera de la acest tip de malware este restaurarea dintr-o copie de rezervă bună cunoscută. Dacă faceți copii de rezervă regulate ale site-ului dvs. cu BackupBuddy, atunci știți că aveți o copie de rezervă recentă care conține o copie bună a site-ului dvs. Restaurarea site-ului dvs. dintr-o copie de rezervă bună cunoscută este o modalitate excelentă de a vă face site-ul înapoi și să funcționeze rapid.

Desigur, dacă rulați un site care are conținut care se modifică frecvent, cea mai bună apărare împotriva unei redirecționări rău intenționate este o bună copie de rezervă recentă și detectarea intruziunilor, astfel încât să fiți alertat rapid despre o problemă. În acest fel, puteți lua măsuri rapid și puteți minimiza timpul de nefuncționare.

Desigur, atunci trebuie să apelați la jurnalele de acces pentru a determina cum a intrat hackerul pentru a plasa și redirecționarea.

O notă despre domeniile suplimentare

Una dintre cele mai comune moduri prin care site-urile WordPress sunt piratate este de la domeniile de suplimente neîntreținute sau instalările suplimentare ale WordPress în contul dvs. de găzduire. Poate ați configurat un site de testare pentru a vedea dacă ceva ar putea funcționa în același cont și ați uitat de acea instalare. Un hacker îl descoperă și exploatează vulnerabilitățile din site-ul neîntreținut pentru a instala malware pe site-ul dvs. principal. Sau, poate aveți și site-ul membrului familiei dvs. găzduit în același spațiu pentru a economisi bani, dar aceștia reutiliza parole compromise.

Cel mai bine este întotdeauna să aveți un site WordPress într-un cont de găzduire sau, dacă utilizați mai multe site-uri în același cont de găzduire, asigurați-vă că sunt izolate unul de celălalt și că utilizați un utilizator diferit bazat pe server pentru fiecare site. În acest fel, contaminarea încrucișată de la un loc vulnerabil la altul adiacent nu poate avea loc.

Dacă aveți mai multe site-uri în contul dvs. de găzduire, va trebui să tratați toate site-urile care rulează în același spațiu (de exemplu, toate site-urile care rulează sub public_html) ca și cum ar fi toate contaminate cu malware de redirecționare rău intenționat. Dacă aveți un caz ca acesta, asigurați-vă că fiecare dintre acești pași este efectuat pentru fiecare dintre site-urile din acea instanță de găzduire. Dacă nu sunteți sigur, consultați furnizorul dvs. de găzduire.

Scanarea site-ului dvs. pentru redirecționare WordPress malware

Dacă nu aveți o copie de rezervă recentă curată, puteți elimina în continuare programele malware pe cont propriu. Acest lucru poate fi un proces obositor și va trebui să căutați mai mult decât redirecționarea programelor malware. Cel mai frecvent este ca programele malware de redirecționare să fie însoțite de alte programe malware, inclusiv ușile din spate și utilizatorii admin necinstiți, și va trebui, de asemenea, să determinați cum a intrat hackerul, adesea numit „vector de intruziune”. Neasumarea unei abordări holistice a eliminării programelor malware asigură că problema de redirecționare va reveni.

iThemes Security Pro are o funcție de detectare a modificării fișierelor care vă va avertiza dacă au loc modificări ale fișierelor pe site-ul dvs. web, cum ar fi modificări care ar indica un hack de redirecționare sau uși din spate.

Iată procesul nostru recomandat de eliminare a programelor malware.

1. Faceți o copie de rezervă a site-ului

Da, chiar dacă site-ul este infectat, veți dori să păstrați dovezile a ceea ce sa întâmplat. Luați în considerare orice hack drept o scenă a crimei și veți dori să știți ce s-a întâmplat și când. Marcajele temporale ale fișierelor vor fi utile în investigația dvs. atunci când determinați cum a avut loc intruziunea, astfel încât să puteți împiedica să se repete.

2. Stabiliți dacă trebuie să eliminați site-ul

Cu o redirecționare rău intenționată, este posibil să doriți să vă opriți temporar site-ul pentru întreținere. Nu toate redirecționările ar garanta acest lucru, dar dacă site-ul dvs. redirecționează către un loc care ar putea dăuna computerului unui utilizator, oprirea site-ului pentru o perioadă ar preveni deteriorarea ulterioară.

Dacă credeți că hackerul ar putea fi încă activ pe site (dacă nu știți, presupuneți că sunt), eliminarea site-ului și a-l face inaccesibil poate preveni daune suplimentare.

Fiecare situație va fi diferită; va trebui să iei această determinare pe baza a ceea ce se întâmplă.

3. Copiați site-ul pe o unitate locală

Păstrând backup-ul, copiați site-ul pe o unitate locală. Vă recomandăm să faceți o curățare pe o unitate locală folosind un editor de text și să comparați local și să revizuiți toate fișierele - de la fișierele dvs. PHP și Javascript la fișierele dvs. .htaccess - într-o situație locală care este inaccesibilă pe internet. În acest fel, aveți un mediu controlat pentru a examina fișierele. Puteți descărca o copie nouă a WordPress, a temei și a pluginurilor dvs. și puteți face comparații de fișiere cu site-ul piratat pentru a vedea ce fișiere au fost modificate și care pur și simplu nu aparțin. Există numeroase instrumente de comparare a fișierelor pe care le puteți utiliza.

4. Eliminați redirecționările și ușile din spate ascunse

Pe măsură ce vă uitați prin fișiere, puteți fie să înlocuiți fișierele care conțin malware în ele cu copii bune cunoscute, fie dacă vă simțiți confortabil să faceți acest lucru, puteți elimina fișierele care nu ar trebui să fie acolo (de obicei ușile din spate) și liniile de cod. asta nu ar trebui să fie acolo cu un editor de text.

Verificați directorul dvs. /wp-content/uploads și toate subdirectoarele pentru fișiere PHP care nu ar trebui să fie acolo.

Unele fișiere vor fi diferite de orice ați descărcat din depozitul WordPress.org. Aceste fișiere includ fișierul .htaccess și fișierul wp-config.php. Acestea vor trebui examinate îndeaproape pentru orice cod rău intenționat. Ambele pot conține redirecționări, iar fișierul wp-config.php poate conține backdoors.

5. Încărcați fișierele curățate pe server

Pentru a șterge toate programele malware simultan, împiedicând accesul la ușile din spate care au fost active pe site-ul piratat, încărcați site-ul curățat adiacent site-ului piratat. De exemplu, dacă site-ul piratat este sub /public_html/, încărcați site-ul curat lângă el la /public_html_clean/. Odată ajuns acolo, redenumiți directorul live /public_html/ în /public_html_hacked/ și redenumiți /public_html_clean/ în public_html. Acest lucru durează doar câteva secunde și minimizează timpul de nefuncționare dacă alegeți să nu eliminați site-ul la începutul procesului de curățare. De asemenea, vă împiedică să încercați să curățați un site live piratat sub atac jucând „whack-a-mole” cu un atacator activ.

Acum că fișierele sunt curățate, mai aveți ceva de făcut. Verificați de două ori dacă site-ul arată ok pe front end, precum și în wp-admin.

6. Căutați utilizatori admin rău intenționați

Căutați orice utilizator administrativ rău intenționat care a fost adăugat pe site-ul dvs. Mergeți la wp-admin > utilizatori și verificați dacă toți utilizatorii admin sunt validi.

7. Schimbați toate parolele administrative

Considerați că toate conturile de administrator sunt compromise și configurați parole noi pentru toți.

8. Protejați-vă împotriva înregistrărilor rău intenționate

Mergeți la wp-admin > setări > general și asigurați-vă că setarea pentru „Membership” numită „Oricine se poate înregistra” este dezactivată. Dacă aveți nevoie să se înregistreze utilizatorii, asigurați-vă că „Rolul implicit pentru utilizator nou” este setat doar la Abonat și nu la Administrator sau Editor.

9. Căutați în baza de date orice linkuri rău intenționate

Căutați manual în baza dvs. de date WordPress funcții PHP rău intenționate, într-un mod similar cu cum ați făcut pentru a găsi probleme în sistemul de fișiere. Pentru a face acest lucru, conectați-vă la PHPMyAdmin sau la un alt instrument de gestionare a bazei de date și selectați baza de date pe care o folosește site-ul dvs.

Apoi căutați termeni precum:

  • Eval
  • scenariu
  • Gzinflate
  • Base64_decode
  • Str_replace
  • preg_replace

Doar fii extrem de atent înainte de a schimba ceva în baza de date. Chiar și o schimbare foarte mică, cum ar fi adăugarea accidentală a unui spațiu, vă poate duce site-ul în jos sau poate împiedica încărcarea corectă.

10. Securizează site-ul

Deoarece a existat o intruziune, trebuie să presupuneți că tot ceea ce este asociat cu site-ul dvs. a fost compromis. Schimbați parola bazei de date în panoul contului de găzduire și acreditările în fișierul wp-config.php, astfel încât site-ul dvs. WordPress să se poată conecta la baza de date WordPress.

De asemenea, schimbați parola SFTP/FTP și chiar parola în contul dvs. cPanel sau hosting.

11. Verificați dacă există probleme cu Google

Conectați-vă la Google Search Console și vedeți dacă aveți avertismente de site rău intenționate. Dacă da, examinați-le pentru a vedea dacă soluțiile dvs. au rezolvat problema. Dacă da, cereți o recenzie.

12. Instalați iThemes Security

Dacă nu ați instalat și configurat încă iThemes Security, acum este cel mai bun moment. iThemes Security este cea mai bună modalitate de a vă proteja site-ul împotriva intruziunilor

13. Actualizați sau eliminați orice software vulnerabil

Dacă aveți software, teme, pluginuri sau de bază care necesită o actualizare, actualizați-le acum. Dacă există o vulnerabilitate într-un plugin pe care îl utilizați și care nu a fost corectat (puteți verifica folosind iThemes Security), dezactivați și eliminați complet acel software de pe site-ul dvs.

În acest moment, dacă v-ați blocat site-ul, puteți elimina notificarea de întreținere pentru a face site-ul dvs. accesibil din nou.

Preveniți o altă intruziune

Odată ce site-ul dvs. este blocat și activ, este esențial să luați măsuri pentru a preveni intruziunea să se repete. Verificați fișierele jurnal pentru a vedea cum a avut loc intruziunea în primul rând. A fost software vulnerabil? A fost un cont de utilizator administrator compromis? A fost contaminare încrucișată de la o instalare WordPress adiacentă, neîntreținută? Cunoașterea modului în care s-a întâmplat intruziunea vă va informa să luați măsuri pentru a evita ca aceasta să se repete pe viitor.

Și, utilizarea iThemes Security este un prim pas important pentru a vă păstra site-ul în siguranță.

WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. Atacatorii presupun că utilizatorii WordPress au mai puține cunoștințe de securitate, așa că găsesc site-uri WordPress care nu sunt protejate și exploatează parole proaste, parole reutilizate sau software vulnerabil pentru a obține un punct de sprijin în conturi de găzduire nesuspectate.

Raportul DBIR Verizon pentru 2022 raportează că peste 80% dintre încălcări pot fi atribuite acreditărilor furate și a existat o creștere cu 30% a acreditărilor furate ca vector primar de intruziune față de exploatarea vulnerabilităților. Acesta este unul dintre motivele pentru care iThemes Security acordă prioritate inovațiilor privind acreditările utilizatorilor, cum ar fi cheile de acces și autentificarea cu doi factori, pentru a proteja site-urile WordPress de aceste intruziuni.

Dacă ați văzut ceva în acest articol, sperăm că este cât de important să luați în serios securitatea ÎNAINTE de o încălcare. Puteți economisi nenumărate ore de dureri de cap la revizuirea codului cu doar câteva set-uri. Utilizați BackupBuddy pentru a face recuperarea mult mai ușoară și pentru a vă proteja împotriva accesului neautorizat folosind iThemes Security Pro.