如何从恶意重定向恶意软件黑客中恢复

已发表: 2022-10-18

恶意攻击者最流行的策略之一是将恶意重定向恶意软件添加到站点,以将流量吸引到另一个站点。 这不仅对网站所有者有害,对网站访问者也有害。 恶意重定向通常会将毫无戒心的站点访问者带到垃圾邮件站点,甚至可能会用难以消除的恶意软件感染用户计算机的站点。

在这篇文章中,我们将讨论什么是恶意重定向恶意软件,为什么黑客会使用这种策略,如何确定您的网站是否受到该恶意软件的影响,以及一些可能的解决方案来从恶意重定向恶意软件的影响中恢复您的网站.

此外,我们将概述一些重要步骤,以确保您的网站在恢复后仍然受到保护。

什么是恶意重定向恶意软件?

恶意重定向是插入网站的代码(通常是 Javascript),旨在将网站访问者重定向到另一个网站。 通常,攻击者会将这种恶意恶意软件添加到 WordPress 网站,目的是在另一个网站上产生广告印象。 但是,一些恶意重定向可能会产生更严重的影响。 更严重的恶意重定向可以利用站点访问者计算机中的潜在漏洞。 这种类型的恶意软件旨在安装恶意软件,用可能对用户的 Mac 或 Windows 计算机造成极大破坏的恶意软件感染个人计算机。

确定您的网站是否被感染

网站所有者可能不知道他们的网站正在重定向。 通常,恶意重定向是隐藏的,因此只有未经身份验证的(未登录的用户)被重定向。 或者,它可能会检测用户在访问站点时使用的浏览器,并仅使用该特定浏览器进行重定向。 例如,如果他们的目标是利用只能感染易受攻击的 Chrome 版本的恶意软件来利用个人计算机,那么只有那些使用被恶意脚本检测到的版本的人才会被重定向。 可能需要进行一些调查才能确定发生了什么。

网站所有者可能会尝试复制客户报告的重定向,结果却发现在他们的计算机上一切正常。 移动平台上的站点访问者可能同时遇到恶意活动。 重定向可能发生在某些页面而不是其他页面上。 或者,它甚至可能在网站加载之前发生。

WordPress重定向黑客

为什么我的 WordPress 网站会重定向到另一个网站?

如果您的网站正在重定向,攻击者可以使用几种方法来创建重定向。 当然,这些都是创建重定向的非常有效的方法,但是在恶意情况下,这些绝对不符合网站访问者的最佳利益。 以下是攻击者用来重定向的一些方法。 重定向的主要方法包括 .htaccess 重定向或 Javascript 重定向。 在极少数情况下,您可能会发现 HTTP 标头(例如 META HTTP-EQUIV=REFRESH 重定向),但这种情况很少见。 在许多情况下,重定向被混淆了,这意味着函数被用来隐藏代码的真实意图。 这种混淆通常是发现问题的第一个关键,但攻击者认为大多数 WordPress 网站所有者会被混淆吓倒,不想深入挖掘。

重定向感染的具体位置在哪里?

黑客将在多个区域插入他们的恶意代码以导致 WordPress 重定向黑客攻击发生。

1.PHP文件

攻击者可以通过将代码插入任何 WordPress 核心文件来感染您的站点。 以下是一些可能包含导致问题的恶意代码的文件:

攻击者可以通过在 WordPress 的任何核心文件中注入代码来感染网站。 检查这些文件是否有恶意代码。 如果您不确定哪些代码是恶意代码,哪些不是,您可以随时将文件与 WordPress 核心或主题和插件文件的已知良好副本进行比较

  • 索引.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • 主题文件 (wp-content/themes/{themeName}/)
    • 头文件.php
    • 函数.php
    • 页脚.php

2. JavaScript 文件

重定向恶意软件的某些变体会影响您网站上的所有 JavaScript (.js) 文件。 这将包括插件、主题文件夹和 wp-includes 中的 Javascript 文件。

通常,相同的恶意代码将添加到每个 JavaScript 文件的最顶部或底部。

3. .htaccess 文件

您的 .htaccess 文件是一组指令,它们告诉您的 Web 服务器在收到站点访问者的请求后立即执行什么操作。 它在 PHP 之前,在对您的数据库的任何调用之前参与,它可以检测某些“环境变量”,这些变量会告诉您的服务器一些关于用户所在系统的信息,例如他们的浏览器、计算机的类型,甚至是请求因为您网站的网页来自搜索引擎爬虫。

如果您不熟悉普通的 WordPress .htaccess 文件是什么样子,那么 .htaccess 中的大部分代码可能会令人困惑。 而且,如果您将 .htaccess 文件下载到硬盘驱动器以进行更深入的查看,它通常会在您身上消失,许多个人计算机将这种文件类型视为“隐藏文件”。

将恶意代码添加到 .htaccess 文件中的非常常见的 Pharma hack 通常只会重定向来自搜索引擎结果页面的站点访问者。

黑客将他们的恶意代码放置在您无法在文件中隐藏的位置,除非您向右滚动很远。 这使得发现和删除这些重定向黑客变得更加困难。

3. WordPress 数据库

wp_options 和 wp_posts 表通常是 WordPress 数据库中的表,这些表是黑客插入恶意重定向的目标。 Javascript 代码可以嵌入到您的每个帖子甚至所有帖子中。 如果重定向隐藏在小部件中,您通常还可以在 wp_options 表中找到重定向。

4. 伪造的 favicon.ico 文件

存在的恶意软件会在您网站的服务器上创建一个随机的 .ico 文件或流氓 favicon.ico 文件,其中将包含恶意 PHP 代码。 这些 .ico 文件将包含恶意重定向,然后将其包含在您网站上的另一个文件中。

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

快速从恶意重定向中恢复

如果您遭到恶意重定向黑客攻击,从此类恶意软件中恢复的最快、最简单的方法是从已知良好的备份中恢复。 如果您使用 BackupBuddy 对您的站点进行定期备份,那么您知道您有一个包含您站点的良好副本的最近备份。 从已知良好的备份中恢复您的站点是让您的站点快速恢复并运行的绝佳方式。

当然,如果您运行的站点内容经常更改,那么针对恶意重定向的最佳防御措施是良好的近期备份和入侵检测,这样您就可以快速收到问题警报。 通过这种方式,您可以快速采取行动并最大限度地减少停机时间。

当然,您还必须查看您的访问日志来确定黑客是如何进入并设置重定向的。

关于附加域的说明

WordPress 网站被黑客入侵的最常见方式之一是来自未维护的附加域或您的主机帐户中额外安装的 WordPress。 也许您设置了一个测试站点以查看是否可以在同一个帐户中使用某些东西,而您却忘记了该安装。 黑客发现它并利用未维护站点中的漏洞在您的主站点上安装恶意软件。 或者,也许您将家人的网站也托管在同一空间中以节省资金,但他们正在重复使用被泄露的密码。

最好在一个托管帐户中拥有一个 WordPress 站点,或者如果您在同一个托管帐户中使用多个站点,请确保它们彼此隔离,并为每个站点使用不同的基于服务器的用户。 这样,就不会发生从一个易受攻击的站点到另一个相邻站点的交叉污染。

如果您的主机帐户中确实有多个站点,则需要将在同一空间中运行的所有站点(例如,在 public_html 下运行的所有站点)都视为都受到恶意重定向恶意软件的污染。 如果您确实有这样的情况,请确保针对该托管实例中的每个站点都完成了这些步骤中的每一个。 如果您不确定,请咨询您的托管服务提供商。

扫描您的网站以查找 WordPress 重定向黑客恶意软件

如果您没有最近的干净备份,您仍然可以自行删除恶意软件。 这样做可能是一个乏味的过程,您需要寻找的不仅仅是重定向恶意软件。 重定向恶意软件最常见的情况是伴随着其他恶意软件,包括后门和流氓管理员用户,您还需要确定黑客是如何进入的,通常称为“入侵向量”。 不采取整体方法来清除恶意软件可确保重定向问题会再次出现。

iThemes Security Pro 具有文件更改检测功能,如果您的网站上发生任何文件更改,例如指示重定向黑客或后门的更改,该功能会提醒您。

这是我们推荐的恶意软件清除过程。

1.备份网站

是的,即使该站点已被感染,您仍希望保留所发生事件的证据。 考虑任何黑客犯罪现场,你会想知道发生了什么,什么时候发生的。 当您确定入侵是如何发生的时,文件时间戳将有助于您的调查,以便您可以防止它再次发生。

2.确定是否需要关闭网站

使用恶意重定向,您可能希望暂时关闭您的站点以进行维护。 并非所有重定向都可以保证这一点,但如果您的站点正在重定向到可能会损害用户计算机的位置,则将站点关闭一段时间可以防止进一步的损害。

如果您认为黑客可能仍然在该站点上活跃(如果您不知道,假设他们是活跃的),关闭该站点并使其无法访问可以防止进一步的破坏。

每种情况都会有所不同; 您需要根据正在发生的事情做出决定。

3. 将站点复制到本地驱动器

保留备份,将站点复制到本地驱动器。 我们建议使用文本编辑器在本地驱动器上进行清理,并在本地无法访问 Internet 的情况下进行本地比较并查看所有文件(从 PHP 和 Javascript 文件到 .htaccess 文件)。 这样,您就有了一个检查文件的受控环境。 您可以下载 WordPress、您的主题和插件的新副本,并与您的被黑站点进行文件比较,以查看哪些文件已更改,哪些文件根本不属于。 您可以使用许多文件比较工具。

4. 删除重定向和隐藏的后门

在查看文件时,您可以使用已知的良好副本替换其中包含恶意软件的文件,或者如果您愿意这样做,您可以删除不应该存在的文件(通常是后门)和代码行文本编辑器不应该在那里。

检查您的 /wp-content/uploads 目录和所有不应该存在的 PHP 文件的子目录。

有些文件与您从 WordPress.org 存储库下载的任何文件都不同。 这些文件包括您的 .htaccess 文件和 wp-config.php 文件。 这些将需要仔细检查是否有任何错误的恶意代码。 两者都可以包含重定向,并且 wp-config.php 文件可以包含后门。

5. 将清理后的文件上传到您的服务器

要一次清除所有恶意软件,防止访问在被黑网站上活动的任何后门,请将已清理的网站上传到与被黑网站相邻的位置。 例如,如果您被黑的站点位于 /public_html/ 下,则将您的干净站点上传到 /public_html_clean/ 旁边。 在那里,将 live /public_html/ 目录重命名为 /public_html_hacked/ 并将 /public_html_clean/ 重命名为 public_html。 如果您在清洁过程开始时选择不关闭站点,则这只需要几秒钟并最大限度地减少停机时间。 它还可以防止您通过与活跃的攻击者玩“打地鼠”来尝试清理受到攻击的被黑客入侵的现场网站。

现在文件已清理完毕,您还有一些工作要做。 仔细检查该站点在前端以及 wp-admin 中是否正常。

6.寻找恶意管理员用户

查找添加到您站点的任何恶意管理用户。 前往 wp-admin > users 并仔细检查所有管理员用户是否有效。

7.更改所有管理密码

考虑所有管理员帐户都受到威胁,并为所有人设置新密码。

8.防止恶意注册

前往 wp-admin > 设置 > 常规,并确保禁用名为“任何人都可以注册”的“会员”设置。 如果您需要用户注册,请确保“新用户默认角色”仅设置为订阅者,而不是管理员或编辑者。

9. 在数据库中搜索任何恶意链接

以与查找文件系统问题类似的方式手动搜索 WordPress 数据库以查找恶意 PHP 函数。 为此,请登录 PHPMyAdmin 或其他数据库管理工具并选择您的站点正在使用的数据库。

然后搜索以下术语:

  • 评估
  • 脚本
  • Gzinflate
  • Base64_decode
  • str_replace
  • preg_replace

在更改数据库中的任何内容之前要非常小心。 即使是很小的更改,例如意外添加空间,也可能导致您的网站崩溃或无法正常加载。

10. 保护网站

由于发生了入侵,您需要假设与您的站点相关的所有内容都已被入侵。 在您的主机帐户面板中更改您的数据库密码,并在您的 wp-config.php 文件中更改凭据,以便您的 WordPress 站点可以登录到您的 WordPress 数据库。

此外,更改您的 SFTP/FTP 密码,甚至更改您的 cPanel 或主机帐户的密码。

11.检查谷歌的问题

登录到您的 Google Search Console 并查看您是否有任何恶意站点警告。 如果是这样,请查看它们以查看您的修复是否解决了问题。 如果是这样,请要求审查。

12. 安装 iThemes 安全

如果您还没有安装和配置 iThemes Security,现在是最好的时机。 iThemes Security 是让您的网站免受入侵的最佳方式

13. 更新或删除任何易受攻击的软件

如果您有任何需要更新的软件、主题、插件或核心,请立即更新。 如果您正在使用的插件中存在尚未修补的漏洞(您可以使用 iThemes Security 检查),请停用并从您的站点中完全删除该软件。

此时,如果您已锁定您的站点,您可以删除维护通知以使您的站点再次可访问。

防止再次入侵

一旦您的网站被锁定并生效,您必须采取措施防止再次发生入侵。 检查您的日志文件以了解入侵最初是如何发生的。 是易受攻击的软件吗? 它是被盗用的管理员用户帐户吗? 是来自相邻的、未维护的 WordPress 安装的交叉污染吗? 了解入侵是如何发生的将通知您采取措施防止它在未来再次发生。

而且,使用 iThemes Security 是确保网站安全的重要第一步。

WordPress 目前为超过 40% 的网站提供支持,因此它已成为恶意黑客的轻松目标。 攻击者认为 WordPress 用户的安全知识较少,因此他们会找到未受保护的 WordPress 网站,并利用错误密码、重复使用的密码或易受攻击的软件在毫无戒心的托管帐户中站稳脚跟。

Verizon 的 2022 年 DBIR 报告报告称,超过 80% 的违规行为可归因于凭证被盗,与漏洞利用相比,作为主要入侵媒介的被盗凭证增加了 30%。 这就是 iThemes Security 优先考虑用户凭证创新(如密码和双因素身份验证)以保护 WordPress 网站免受这些入侵的原因之一。

如果您在本文中看到过任何内容,我们希望您在违规之前认真对待安全性是多么重要。 只需几个设置,您就可以节省无数小时的审查代码的麻烦。 使用 BackupBuddy 使恢复变得更加容易,并使用 iThemes Security Pro 防止未经授权的访问。

保护和保护 WordPress 的最佳 WordPress 安全插件

WordPress 目前为超过 40% 的网站提供支持,因此它已成为恶意黑客的轻松目标。 iThemes Security Pro 插件消除了 WordPress 安全性的猜测,使保护您的 WordPress 网站变得容易。 这就像拥有一个全职的安全专家,他们不断地为您监控和保护您的 WordPress 网站。

获取 iThemes 安全专业版