Как восстановиться после взлома вредоносных программ перенаправления

Опубликовано: 2022-10-18

Одной из самых популярных тактик злоумышленников является добавление вредоносных вредоносных программ перенаправления на сайт с целью перенаправления трафика на другой сайт. Это может нанести ущерб не только владельцу сайта, но и его посетителям. Вредоносное перенаправление часто приводит ничего не подозревающего посетителя сайта на спам-сайты или даже на сайты, которые могут заразить компьютер пользователя вредоносными программами, которые сложно удалить.

В этом посте мы поговорим о том, что такое вредоносное вредоносное ПО для перенаправления, почему хакеры используют эту тактику, как определить, подвержен ли ваш сайт этому вредоносному ПО, и некоторые возможные решения для восстановления вашего сайта от воздействия вредоносного вредоносного ПО для перенаправления. .

Кроме того, мы опишем некоторые важные шаги, чтобы ваш сайт оставался защищенным после восстановления.

Что такое вредоносное перенаправление вредоносных программ?

Вредоносная переадресация — это код, обычно Javascript, который вставляется на веб-сайт с целью перенаправить посетителя сайта на другой веб-сайт. Часто это вредоносное ПО добавляется на веб-сайт WordPress злоумышленниками с целью создания рекламных показов на другом сайте. Однако некоторые вредоносные перенаправления могут иметь более серьезные последствия. Более серьезное вредоносное перенаправление может использовать потенциальные уязвимости на компьютере посетителя сайта. Этот тип вредоносных программ предназначен для установки вредоносных программ, которые заражают персональный компьютер вредоносными программами, которые могут нанести серьезный ущерб компьютеру пользователя Mac или Windows.

Определение того, заражен ли ваш сайт

Владельцы сайтов могут не знать, что их сайт перенаправляет. Часто вредоносные перенаправления скрыты, поэтому перенаправляются только не прошедшие проверку подлинности (не вошедшие в систему пользователи). Или он может определить браузер, который пользователь использует при посещении сайта, и перенаправить только с помощью этого конкретного браузера. Например, если они хотят использовать на персональном компьютере вредоносное ПО, способное заражать только уязвимые версии Chrome, перенаправляться будут только те, кто использует эту версию, обнаруженную вредоносным скриптом. Может потребоваться некоторое расследование, чтобы определить, что происходит.

Владелец сайта может попытаться воспроизвести перенаправление, о котором сообщил клиент, только для того, чтобы убедиться, что на его компьютере все выглядит нормально. Посетители сайта на мобильных платформах могут в то же время подвергаться вредоносной активности. Перенаправление может происходить на одних страницах, а не на других. Или это может произойти еще до того, как сайт загрузится.

Взлом редиректа WordPress

Почему мой сайт WordPress перенаправляется на другой сайт?

Если ваш сайт перенаправляет, есть несколько методов, которые злоумышленники могут использовать для создания перенаправления. Конечно, все это может быть очень действенным способом создания перенаправления, однако в случае со злонамеренными действиями это определенно не в интересах посетителя сайта. Вот некоторые методы, которые злоумышленники используют для перенаправления. Основные методы перенаправления включают либо перенаправление .htaccess, либо перенаправление Javascript. В редких случаях вы можете найти HTTP-заголовок (например, перенаправление META HTTP-EQUIV=REFRESH), но это редкость. Во многих случаях перенаправление запутано, то есть функции используются для сокрытия истинного назначения кода. Эта обфускация часто является первым признаком того, что что-то не так, но злоумышленники делают ставку на то, что большинство владельцев сайтов WordPress будут запуганы обфускацией и не захотят копать глубже.

Где именно находится Redirect Infection?

Есть несколько областей, где хакеры будут вставлять свой вредоносный код, чтобы вызвать взлом WordPress с перенаправлением.

1. PHP-файлы

Злоумышленник может заразить ваш сайт, вставив код в любой из основных файлов WordPress. Вот некоторые из файлов, которые могут содержать вредоносный код, вызывающий вашу проблему:

Злоумышленники могут заразить веб-сайт, внедрив код в любой из основных файлов WordPress. Проверьте эти файлы на наличие вредоносного кода. Если вы не уверены, какой код является вредоносным, а какой нет, вы всегда можете сравнить файлы с заведомо исправными копиями ядра WordPress или файлов вашей темы и плагинов.

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • Файлы темы (wp-content/themes/{themeName}/)
    • заголовок.php
    • functions.php
    • нижний колонтитул.php

2. Файлы JavaScript

Некоторые варианты вредоносных программ перенаправления повлияют на все файлы JavaScript (.js) на вашем сайте. Это будет включать файлы Javascript в плагине, папках тем и wp-includes.

И, как правило, один и тот же вредоносный код добавляется в самый верх или в самый низ каждого файла JavaScript.

3. Файл .htaccess

Ваш файл .htaccess представляет собой набор директив, которые сообщают вашему веб-серверу, что делать, как только он получает запрос от посетителя сайта. Он задействуется перед PHP, перед любыми обращениями к вашей базе данных и может обнаруживать определенные «переменные среды», которые немного сообщают вашему серверу о системе, в которой находится пользователь, например, об их браузере, типе компьютера и даже о том, для страниц вашего сайта поступает от поискового робота.

Если вы не знаете, как выглядит обычный файл WordPress .htaccess, большая часть кода в .htaccess может сбивать с толку. И, если вы загрузите файл .htaccess на свой жесткий диск для более глубокого изучения, он часто может исчезнуть на вас, поскольку многие персональные компьютеры рассматривают этот тип файла как «скрытый файл».

Очень распространенный взлом Pharma, когда вредоносный код добавляется в файл .htaccess, часто перенаправляет посетителей сайта только в том случае, если они приходят со страницы результатов поисковой системы.

Хакеры размещают свой вредоносный код таким образом, что вы не можете найти его скрытым в файле, если только не прокрутите его далеко вправо. Это значительно усложняет обнаружение и удаление этих хаков перенаправления.

3. База данных WordPress

Таблицы wp_options и wp_posts обычно представляют собой таблицы в базе данных WordPress, на которые нацелены хакеры, вставляющие вредоносные перенаправления. Код Javascript можно найти в каждом из ваших постов или даже во всех. Вы также часто можете найти перенаправления в таблице wp_options, если они скрыты в виджетах.

4. Поддельные файлы favicon.ico

Существует вредоносное ПО, которое создает случайный файл .ico или фальшивый файл favicon.ico на сервере вашего сайта, который будет содержать вредоносный код PHP. Эти файлы .ico будут содержать вредоносное перенаправление, которое затем будет включено в другой файл на вашем сайте.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Быстрое восстановление после вредоносного перенаправления

Если вы подверглись злонамеренному взлому с перенаправлением, самый быстрый и простой способ восстановления после этого типа вредоносного ПО — это восстановление из заведомо исправной резервной копии. Если вы регулярно делаете резервные копии своего сайта с помощью BackupBuddy, то вы знаете, что у вас есть недавняя резервная копия, которая содержит хорошую копию вашего сайта. Восстановление сайта из заведомо исправной резервной копии — отличный способ быстро восстановить работоспособность сайта.

Конечно, если вы используете сайт с часто меняющимся содержимым, лучшей защитой от вредоносного перенаправления является хорошая недавняя резервная копия и обнаружение вторжений, чтобы вы могли быстро узнать о проблеме. Таким образом, вы можете быстро принять меры и свести к минимуму время простоя.

Конечно, тогда вы должны обратиться к своим журналам доступа, чтобы определить, как хакер проник в систему, чтобы установить перенаправление.

Примечание о дополнительных доменах

Один из наиболее распространенных способов взлома сайтов WordPress — это неподдерживаемые дополнительные домены или дополнительные установки WordPress в вашей учетной записи хостинга. Возможно, вы настроили тестовый сайт, чтобы посмотреть, может ли что-то работать в той же учетной записи, и забыли об этой установке. Хакер обнаруживает его и использует уязвимости на неподдерживаемом сайте, чтобы установить вредоносное ПО на ваш основной сайт. Или, может быть, у вас есть сайт члена вашей семьи, который также размещен в том же месте, чтобы сэкономить деньги, но они повторно используют скомпрометированные пароли.

Всегда лучше иметь один сайт WordPress в одной учетной записи хостинга, или, если вы используете несколько сайтов в одной учетной записи хостинга, убедитесь, что они изолированы друг от друга и используете разных пользователей на сервере для каждого сайта. Таким образом, невозможно перекрестное заражение с одного уязвимого участка на другой соседний участок.

Если у вас есть более одного сайта в вашей учетной записи хостинга, вам необходимо рассматривать все сайты, работающие в одном и том же пространстве (например, все сайты, работающие под именем public_html), как если бы все они были заражены вредоносными программами перенаправления. Если у вас есть подобный случай, убедитесь, что каждый из этих шагов выполнен для каждого из сайтов в этом экземпляре хостинга. Если вы не уверены, обратитесь к своему хостинг-провайдеру.

Сканирование вашего сайта на наличие вредоносного ПО для перенаправления WordPress

Если у вас нет последней чистой резервной копии, вы все равно можете удалить вредоносное ПО самостоятельно. Это может быть утомительным процессом, и вам придется искать нечто большее, чем просто перенаправление вредоносных программ. Чаще всего вредоносное ПО перенаправления сопровождается другими вредоносными программами, включая бэкдоры и мошеннических пользователей-администраторов, и вам также необходимо определить, как хакер проник внутрь, что часто называют «вектором вторжения». Отсутствие целостного подхода к удалению вредоносных программ гарантирует, что проблема перенаправления вернется.

iThemes Security Pro имеет функцию обнаружения изменений файлов, которая предупредит вас, если на вашем веб-сайте произойдут какие-либо изменения файлов, например, изменения, указывающие на взлом перенаправления или бэкдоры.

Вот наш рекомендуемый процесс удаления вредоносных программ.

1. Сделайте резервную копию сайта

Да, даже если сайт заражен, вы захотите сохранить доказательства того, что произошло. Считайте любой взлом местом преступления, и вам захочется узнать, что и когда произошло. Временные метки файлов будут полезны в вашем расследовании, когда вы определите, как произошло вторжение, чтобы вы могли предотвратить его повторение.

2. Определите, нужно ли вам закрыть сайт

Из-за вредоносного перенаправления вы можете временно отключить свой сайт на техническое обслуживание. Не все перенаправления гарантируют это, но если ваш сайт перенаправляет в место, которое может нанести вред компьютеру пользователя, отключение сайта на время предотвратит дальнейший ущерб.

Если вы считаете, что хакер все еще может быть активен на сайте (если вы не знаете, предположим, что это так), закрытие сайта и его недоступность могут предотвратить дальнейший ущерб.

Каждая ситуация будет отличаться; вам нужно будет сделать это определение на основе того, что происходит.

3. Скопируйте сайт на локальный диск

Сохранив резервную копию, скопируйте сайт на локальный диск. Мы рекомендуем выполнить очистку на локальном диске с помощью текстового редактора и локально сравнить и просмотреть все файлы — от файлов PHP и Javascript до файлов .htaccess — в локальной ситуации, недоступной для Интернета. Таким образом, у вас есть контролируемая среда для проверки файлов. Вы можете скачать свежую копию WordPress, вашей темы и плагинов и сравнить файлы с вашим взломанным сайтом, чтобы увидеть, какие файлы были изменены, а какие просто не принадлежат. Существует множество инструментов сравнения файлов, которые вы можете использовать.

4. Удалите перенаправления и скрытые бэкдоры

Когда вы просматриваете свои файлы, вы можете либо заменить файлы, содержащие вредоносные программы, заведомо исправными копиями, либо, если вам удобно, вы можете удалить файлы, которых там не должно быть (обычно это бэкдоры), и строки кода. этого не должно быть в текстовом редакторе.

Проверьте каталог /wp-content/uploads и все подкаталоги на наличие файлов PHP, которых там быть не должно.

Некоторые файлы будут отличаться от всего, что вы загружаете из репозитория WordPress.org. Эти файлы включают ваш файл .htaccess и ваш файл wp-config.php. Их необходимо тщательно изучить на наличие ошибочного вредоносного кода. Оба могут содержать редиректы, а файл wp-config.php может содержать бэкдоры.

5. Загрузите очищенные файлы на свой сервер.

Чтобы сразу уничтожить все вредоносные программы, предотвратив доступ к любым бэкдорам, которые были активны на взломанном сайте, загрузите очищенный сайт рядом с вашим взломанным сайтом. Например, если ваш взломанный сайт находится в /public_html/, загрузите чистый сайт рядом с ним в /public_html_clean/. Оказавшись там, переименуйте действующий каталог /public_html/ в /public_html_hacked/ и переименуйте /public_html_clean/ в public_html. Это займет всего несколько секунд и сведет к минимуму время простоя, если вы решили не отключать свой сайт в начале процесса очистки. Это также предотвращает попытки очистить взломанный активный сайт, находящийся под атакой, играя в «ударь крота» с активным злоумышленником.

Теперь, когда файлы очищены, у вас еще есть над чем поработать. Дважды проверьте, что сайт выглядит нормально в интерфейсе, а также в wp-admin.

6. Ищите злонамеренных пользователей-администраторов

Ищите любых злонамеренных пользователей-администраторов, которые были добавлены на ваш сайт. Перейдите в раздел wp-admin > users и дважды проверьте, все ли пользователи с правами администратора действительны.

7. Смените все административные пароли

Считайте, что все учетные записи администраторов скомпрометированы, и установите новые пароли для всех.

8. Защита от вредоносных регистраций

Перейдите в wp-admin> настройки> общие и убедитесь, что параметр «Членство» с именем «Любой может зарегистрироваться» отключен. Если вам нужно, чтобы пользователи регистрировались, убедитесь, что «Роль нового пользователя по умолчанию» установлена ​​только на «Подписчик», а не на «Администратор» или «Редактор».

9. Найдите в базе данных любые вредоносные ссылки

Выполняйте ручной поиск вредоносных функций PHP в базе данных WordPress аналогично тому, как вы это делали для поиска проблем в файловой системе. Для этого войдите в PHPMyAdmin или другой инструмент управления базами данных и выберите базу данных, которую использует ваш сайт.

Затем найдите такие термины, как:

  • оценка
  • сценарий
  • Gzinflate
  • Base64_decode
  • Str_replace
  • preg_replace

Просто будьте предельно осторожны, прежде чем что-либо менять в базе данных. Даже очень небольшое изменение, например, случайное добавление пробела, может привести к падению вашего сайта или его неправильной загрузке.

10. Защитите сайт

Поскольку имело место вторжение, вы должны предположить, что все, что связано с вашим сайтом, было скомпрометировано. Измените пароль к базе данных на панели учетной записи хостинга и учетные данные в файле wp-config.php, чтобы ваш сайт WordPress мог войти в вашу базу данных WordPress.

Кроме того, измените свой пароль SFTP/FTP и даже пароль для своей cPanel или учетной записи хостинга.

11. Проверьте наличие проблем с помощью Google

Войдите в консоль поиска Google и посмотрите, нет ли у вас предупреждений о вредоносных сайтах. Если это так, просмотрите их, чтобы узнать, решили ли ваши исправления проблему. Если да, попросите обзор.

12. Установите безопасность iThemes

Если вы еще не установили и не настроили iThemes Security, сейчас самое подходящее время. iThemes Security — лучший способ защитить ваш сайт от вторжений

13. Обновите или удалите любое уязвимое программное обеспечение.

Если у вас есть какое-либо программное обеспечение, темы, плагины или ядро, требующие обновления, обновите их сейчас. Если в используемом вами плагине есть уязвимость, которая не была исправлена ​​(вы можете проверить это с помощью iThemes Security), деактивируйте и полностью удалите это программное обеспечение с вашего сайта.

На этом этапе, если вы заблокировали свой сайт, вы можете удалить уведомление о техническом обслуживании, чтобы снова сделать свой сайт доступным.

Предотвратить другое вторжение

Как только вы заблокируете свой сайт и заработаете, очень важно предпринять шаги, чтобы предотвратить повторение вторжения. Проверьте свои файлы журналов, чтобы увидеть, как произошло вторжение. Было ли это уязвимым программным обеспечением? Была ли это скомпрометированная учетная запись администратора? Было ли это перекрестным загрязнением от соседней неподдерживаемой установки WordPress? Знание того, как произошло вторжение, поможет вам предпринять шаги, чтобы предотвратить его повторение в будущем.

А использование iThemes Security — важный первый шаг к обеспечению безопасности вашего сайта.

В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злым умыслом. Злоумышленники предполагают, что у пользователей WordPress меньше знаний о безопасности, поэтому они находят сайты WordPress, которые не защищены, и используют неверные пароли, повторно используемые пароли или уязвимое программное обеспечение, чтобы закрепиться в ничего не подозревающих учетных записях хостинга.

В отчете Verizon DBIR за 2022 год сообщается, что более 80% нарушений могут быть связаны с украденными учетными данными, а количество украденных учетных данных в качестве основного вектора вторжений увеличилось на 30% по сравнению с использованием уязвимостей. Это одна из причин, по которой iThemes Security отдает приоритет инновациям в учетных данных пользователей, таким как ключи доступа и двухфакторная аутентификация, для защиты сайтов WordPress от этих вторжений.

Если вы вообще что-то видели в этой статье, мы надеемся, насколько важно серьезно относиться к безопасности ДО взлома. Вы можете сэкономить бесчисленные часы головной боли при просмотре кода с помощью всего нескольких настроек. Используйте BackupBuddy, чтобы упростить восстановление и защититься от несанкционированного доступа с помощью iThemes Security Pro.

Лучший плагин безопасности WordPress для защиты и защиты WordPress

В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злым умыслом. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, упрощая защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.

Получите iThemes Security Pro