如何從惡意重定向惡意軟件黑客中恢復

已發表: 2022-10-18

惡意攻擊者最流行的策略之一是將惡意重定向惡意軟件添加到站點,以將流量吸引到另一個站點。 這不僅對網站所有者有害,對網站訪問者也有害。 惡意重定向通常會將毫無戒心的站點訪問者帶到垃圾郵件站點,甚至可能會用難以消除的惡意軟件感染用戶計算機的站點。

在這篇文章中,我們將討論什麼是惡意重定向惡意軟件,為什麼黑客會使用這種策略,如何確定您的網站是否受到該惡意軟件的影響,以及一些可能的解決方案來從惡意重定向惡意軟件的影響中恢復您的網站.

此外,我們將概述一些重要步驟,以確保您的網站在恢復後仍然受到保護。

什麼是惡意重定向惡意軟件?

惡意重定向是插入網站的代碼(通常是 Javascript),旨在將網站訪問者重定向到另一個網站。 通常,攻擊者會將這種惡意惡意軟件添加到 WordPress 網站,目的是在另一個網站上產生廣告印象。 但是,一些惡意重定向可能會產生更嚴重的影響。 更嚴重的惡意重定向可以利用站點訪問者計算機中的潛在漏洞。 這種類型的惡意軟件旨在安裝惡意軟件,用可能對用戶的 Mac 或 Windows 計算機造成極大破壞的惡意軟件感染個人計算機。

確定您的網站是否被感染

網站所有者可能不知道他們的網站正在重定向。 通常,惡意重定向是隱藏的,因此只有未經身份驗證的(未登錄的用戶)被重定向。 或者,它可能會檢測用戶在訪問站點時使用的瀏覽器,並僅使用該特定瀏覽器進行重定向。 例如,如果他們的目標是利用只能感染易受攻擊的 Chrome 版本的惡意軟件來利用個人計算機,那麼只有那些使用被惡意腳本檢測到的版本的人才會被重定向。 可能需要進行一些調查才能確定發生了什麼。

網站所有者可能會嘗試複製客戶報告的重定向,結果卻發現在他們的計算機上一切正常。 移動平台上的站點訪問者可能同時遇到惡意活動。 重定向可能發生在某些頁面而不是其他頁面上。 或者,它甚至可能在網站加載之前發生。

WordPress重定向黑客

為什麼我的 WordPress 網站會重定向到另一個網站?

如果您的網站正在重定向,攻擊者可以使用幾種方法來創建重定向。 當然,這些都是創建重定向的非常有效的方法,但是在惡意情況下,這些絕對不符合網站訪問者的最佳利益。 以下是攻擊者用來重定向的一些方法。 重定向的主要方法包括 .htaccess 重定向或 Javascript 重定向。 在極少數情況下,您可能會發現 HTTP 標頭(例如 META HTTP-EQUIV=REFRESH 重定向),但這種情況很少見。 在許多情況下,重定向被混淆了,這意味著函數被用來隱藏代碼的真實意圖。 這種混淆通常是發現問題的第一個關鍵,但攻擊者認為大多數 WordPress 網站所有者會被混淆嚇倒,不想深入挖掘。

重定向感染的具體位置在哪裡?

黑客將在多個區域插入他們的惡意代碼以導致 WordPress 重定向黑客攻擊發生。

1.PHP文件

攻擊者可以通過將代碼插入任何 WordPress 核心文件來感染您的站點。 以下是一些可能包含導致問題的惡意代碼的文件:

攻擊者可以通過在 WordPress 的任何核心文件中註入代碼來感染網站。 檢查這些文件是否有惡意代碼。 如果您不確定哪些代碼是惡意代碼,哪些不是,您可以隨時將文件與 WordPress 核心或主題和插件文件的已知良好副本進行比較

  • 索引.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • 主題文件 (wp-content/themes/{themeName}/)
    • 頭文件.php
    • 函數.php
    • 頁腳.php

2. JavaScript 文件

重定向惡意軟件的某些變體會影響您網站上的所有 JavaScript (.js) 文件。 這將包括插件、主題文件夾和 wp-includes 中的 Javascript 文件。

通常,相同的惡意代碼將添加到每個 JavaScript 文件的最頂部或底部。

3. .htaccess 文件

您的 .htaccess 文件是一組指令,它們告訴您的 Web 服務器在收到站點訪問者的請求後立即執行什麼操作。 它在 PHP 之前,在對您的數據庫的任何調用之前參與,它可以檢測某些“環境變量”,這些變量會告訴您的服務器一些關於用戶所在系統的信息,例如他們的瀏覽器、計算機的類型,甚至是請求因為您網站的網頁來自搜索引擎爬蟲。

如果您不熟悉普通的 WordPress .htaccess 文件是什麼樣子,那麼 .htaccess 中的大部分代碼可能會令人困惑。 而且,如果您將 .htaccess 文件下載到硬盤驅動器以進行更深入的查看,它通常會在您身上消失,許多個人計算機將這種文件類型視為“隱藏文件”。

將惡意代碼添加到 .htaccess 文件中的非常常見的 Pharma hack 通常只會重定向來自搜索引擎結果頁面的站點訪問者。

黑客將他們的惡意代碼放置在您無法在文件中隱藏的位置,除非您向右滾動很遠。 這使得發現和刪除這些重定向黑客變得更加困難。

3. WordPress 數據庫

wp_options 和 wp_posts 表通常是 WordPress 數據庫中的表,這些表是黑客插入惡意重定向的目標。 Javascript 代碼可以嵌入到您的每個帖子甚至所有帖子中。 如果重定向隱藏在小部件中,您通常還可以在 wp_options 表中找到重定向。

4. 偽造的 favicon.ico 文件

存在的惡意軟件會在您網站的服務器上創建一個隨機的 .ico 文件或流氓 favicon.ico 文件,其中將包含惡意 PHP 代碼。 這些 .ico 文件將包含惡意重定向,然後將其包含在您網站上的另一個文件中。

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

快速從惡意重定向中恢復

如果您遭到惡意重定向黑客攻擊,從此類惡意軟件中恢復的最快、最簡單的方法是從已知良好的備份中恢復。 如果您使用 BackupBuddy 對您的站點進行定期備份,那麼您知道您有一個包含您站點的良好副本的最近備份。 從已知良好的備份中恢復您的站點是讓您的站點快速恢復並運行的絕佳方式。

當然,如果您運行的站點內容經常更改,那麼針對惡意重定向的最佳防禦措施是良好的近期備份和入侵檢測,這樣您就可以快速收到問題警報。 通過這種方式,您可以快速採取行動並最大限度地減少停機時間。

當然,您還必須查看您的訪問日誌來確定黑客是如何進入並設置重定向的。

關於附加域的說明

WordPress 網站被黑客入侵的最常見方式之一是來自未維護的附加域或您的主機帳戶中額外安裝的 WordPress。 也許您設置了一個測試站點以查看是否可以在同一個帳戶中使用某些東西,而您卻忘記了該安裝。 黑客發現它並利用未維護站點中的漏洞在您的主站點上安裝惡意軟件。 或者,也許您將家人的網站也託管在同一空間中以節省資金,但他們正在重複使用被洩露的密碼。

最好在一個託管帳戶中擁有一個 WordPress 站點,或者如果您在同一個託管帳戶中使用多個站點,請確保它們彼此隔離,並為每個站點使用不同的基於服務器的用戶。 這樣,就不會發生從一個易受攻擊的站點到另一個相鄰站點的交叉污染。

如果您的主機帳戶中確實有多個站點,則需要將在同一空間中運行的所有站點(例如,在 public_html 下運行的所有站點)都視為都受到惡意重定向惡意軟件的污染。 如果您確實有這樣的情況,請確保針對該託管實例中的每個站點都完成了這些步驟中的每一個。 如果您不確定,請諮詢您的託管服務提供商。

掃描您的網站以查找 WordPress 重定向黑客惡意軟件

如果您沒有最近的干淨備份,您仍然可以自行刪除惡意軟件。 這樣做可能是一個乏味的過程,您需要尋找的不僅僅是重定向惡意軟件。 重定向惡意軟件最常見的情況是伴隨著其他惡意軟件,包括後門和流氓管理員用戶,您還需要確定黑客是如何進入的,通常稱為“入侵向量”。 不採取整體方法來清除惡意軟件可確保重定向問題會再次出現。

iThemes Security Pro 具有文件更改檢測功能,如果您的網站上發生任何文件更改,例如指示重定向黑客或後門的更改,該功能會提醒您。

這是我們推薦的惡意軟件清除過程。

1.備份網站

是的,即使該站點已被感染,您仍希望保留所發生事件的證據。 考慮任何黑客犯罪現場,你會想知道發生了什麼,什麼時候發生的。 當您確定入侵是如何發生的時,文件時間戳將有助於您的調查,以便您可以防止它再次發生。

2.確定是否需要關閉網站

使用惡意重定向,您可能希望暫時關閉您的站點以進行維護。 並非所有重定向都可以保證這一點,但如果您的站點正在重定向到可能會損害用戶計算機的位置,則將站點關閉一段時間可以防止進一步的損害。

如果您認為黑客可能仍然在該站點上活躍(如果您不知道,假設他們是活躍的),關閉該站點並使其無法訪問可以防止進一步的破壞。

每種情況都會有所不同; 您需要根據正在發生的事情做出決定。

3. 將站點複製到本地驅動器

保留備份,將站點複製到本地驅動器。 我們建議使用文本編輯器在本地驅動器上進行清理,並在本地無法訪問 Internet 的情況下進行本地比較並查看所有文件(從 PHP 和 Javascript 文件到 .htaccess 文件)。 這樣,您就有了一個檢查文件的受控環境。 您可以下載 WordPress、您的主題和插件的新副本,並與您的被黑站點進行文件比較,以查看哪些文件已更改,哪些文件根本不屬於。 您可以使用許多文件比較工具。

4. 刪除重定向和隱藏的後門

在查看文件時,您可以使用已知的良好副本替換其中包含惡意軟件​​的文件,或者如果您願意這樣做,您可以刪除不應該存在的文件(通常是後門)和代碼行文本編輯器不應該在那裡。

檢查您的 /wp-content/uploads 目錄和所有不應該存在的 PHP 文件的子目錄。

有些文件與您從 WordPress.org 存儲庫下載的任何文件都不同。 這些文件包括您的 .htaccess 文件和 wp-config.php 文件。 這些將需要仔細檢查是否有任何錯誤的惡意代碼。 兩者都可以包含重定向,並且 wp-config.php 文件可以包含後門。

5. 將清理後的文件上傳到您的服務器

要一次清除所有惡意軟件,防止訪問在被黑網站上活動的任何後門,請將已清理的網站上傳到與被黑網站相鄰的位置。 例如,如果您被黑的站點位於 /public_html/ 下,則將您的干淨站點上傳到 /public_html_clean/ 旁邊。 在那裡,將 live /public_html/ 目錄重命名為 /public_html_hacked/ 並將 /public_html_clean/ 重命名為 public_html。 如果您在清潔過程開始時選擇不關閉站點,則這只需要幾秒鐘並最大限度地減少停機時間。 它還可以防止您通過與活躍的攻擊者玩“打地鼠”來嘗試清理受到攻擊的被黑客入侵的現場網站。

現在文件已清理完畢,您還有一些工作要做。 仔細檢查該站點在前端以及 wp-admin 中是否正常。

6.尋找惡意管理員用戶

查找添加到您站點的任何惡意管理用戶。 前往 wp-admin > users 並仔細檢查所有管理員用戶是否有效。

7.更改所有管理密碼

考慮所有管理員帳戶都受到威脅,並為所有人設置新密碼。

8.防止惡意註冊

前往 wp-admin > 設置 > 常規,並確保禁用名為“任何人都可以註冊”的“會員”設置。 如果您需要用戶註冊,請確保“新用戶默認角色”僅設置為訂閱者,而不是管理員或編輯者。

9. 在數據庫中搜索任何惡意鏈接

以與查找文件系統問題類似的方式手動搜索 WordPress 數據庫以查找惡意 PHP 函數。 為此,請登錄 PHPMyAdmin 或其他數據庫管理工具並選擇您的站點正在使用的數據庫。

然後搜索以下術語:

  • 評估
  • 腳本
  • Gzinflate
  • Base64_decode
  • str_replace
  • preg_replace

在更改數據庫中的任何內容之前要非常小心。 即使是很小的更改,例如意外添加空間,也可能導致您的網站崩潰或無法正常加載。

10. 保護網站

由於發生了入侵,您需要假設與您的站點相關的所有內容都已被入侵。 在您的主機帳戶面板中更改您的數據庫密碼,並在您的 wp-config.php 文件中更改憑據,以便您的 WordPress 站點可以登錄到您的 WordPress 數據庫。

此外,更改您的 SFTP/FTP 密碼,甚至更改您的 cPanel 或主機帳戶的密碼。

11.檢查谷歌的問題

登錄到您的 Google Search Console 並查看您是否有任何惡意站點警告。 如果是這樣,請查看它們以查看您的修復是否解決了問題。 如果是這樣,請要求審查。

12. 安裝 iThemes 安全

如果您還沒有安裝和配置 iThemes Security,現在是最好的時機。 iThemes Security 是讓您的網站免受入侵的最佳方式

13. 更新或刪除任何易受攻擊的軟件

如果您有任何需要更新的軟件、主題、插件或核心,請立即更新。 如果您正在使用的插件中存在尚未修補的漏洞(您可以使用 iThemes Security 檢查),請停用並從您的站點中完全刪除該軟件。

此時,如果您已鎖定您的站點,您可以刪除維護通知以使您的站點再次可訪問。

防止再次入侵

一旦您的網站被鎖定並生效,您必須採取措施防止再次發生入侵。 檢查您的日誌文件以了解入侵最初是如何發生的。 是易受攻擊的軟件嗎? 它是被盜用的管理員用戶帳戶嗎? 是來自相鄰的、未維護的 WordPress 安裝的交叉污染嗎? 了解入侵是如何發生的將通知您採取措施防止它在未來再次發生。

而且,使用 iThemes Security 是確保網站安全的重要第一步。

WordPress 目前為超過 40% 的網站提供支持,因此它已成為惡意黑客的輕鬆目標。 攻擊者認為 WordPress 用戶的安全知識較少,因此他們會找到未受保護的 WordPress 網站,並利用錯誤密碼、重複使用的密碼或易受攻擊的軟件在毫無戒心的託管帳戶中站穩腳跟。

Verizon 的 2022 年 DBIR 報告報告稱,超過 80% 的違規行為可歸因於憑證被盜,與漏洞利用相比,作為主要入侵媒介的被盜憑證增加了 30%。 這就是 iThemes Security 優先考慮用戶憑證創新(如密碼和雙因素身份驗證)以保護 WordPress 網站免受這些入侵的原因之一。

如果您在本文中看到過任何內容,我們希望您在違規之前認真對待安全性是多麼重要。 只需幾個設置,您就可以節省無數小時的審查代碼的麻煩。 使用 BackupBuddy 使恢復變得更加容易,並使用 iThemes Security Pro 防止未經授權的訪問。