fbpx
wordpress redirection hack fix
Posted by: lv8gr Category: Cyber Security Tags: , , Comments: 0

Ο ιστότοπός σας στο WordPress ανακατευθύνει τους χρήστες σε άγνωστους κακόβουλους ιστότοπους;

Εάν ναι, τότε ο ιστότοπός σας μπορεί να παραβιαστεί. Το διάσημο hack ανακατεύθυνσης WordPress είναι ένα από τα hacks WP με τη μεγαλύτερη εκμετάλλευση από τους χάκερ. Διαβάστε για αυτό το hack περισσότερα για αυτό παρακάτω.

 

Περιεχόμενα

Παραλλαγές και συμπτώματα της παραβίασης ανακατεύθυνσης WordPress

Η «παραβιασμένη ανακατεύθυνση του WordPress» σε αμφισβητούμενους τομείς δεν είναι κάτι νέο.

Με τα χρόνια, οι χάκερ έχουν εξελίξει αυτόν τον τρόπο για να τον κάνουν πιο “λεπτό” και δύσκολο να τον εντοπίσετε.

Ακολουθούν μερικές από τις παραλλαγές του hack ανακατεύθυνσης WordPress:

Τύποι hack

Classic Redirection Hack

wordpress redirection hack

Η παραβιασμένη ανακατεύθυνση υπάρχει εδώ και πολύ καιρό. Κάθε φορά που κάποιος επισκέπτεται τον ιστότοπό σας, ανακατευθύνεται σε αμφισβητούμενους συνδέσμους όπως ιστότοπους φαρμακείων, ιστότοπους για ενήλικες κ.λπ. Ανακατεύθυνση μέσω αποτελεσμάτων αναζήτησης Όταν ο ιστότοπος ανοίγει εισάγοντας τη διεύθυνση URL στο πρόγραμμα περιήγησης, ανοίγει κανονικά. Αλλά όταν ανοίγεται με αναζήτηση στο Google, ανακατευθύνεται σε κακόβουλους ιστότοπους.

Ανακατεύθυνση WordPress για συγκεκριμένη συσκευή

Ο ιστότοπος ανακατευθύνει μόνο όταν ανοίγει από κινητή συσκευή ή ανακατευθύνει μόνο όταν ανοίγει από επιτραπέζιο υπολογιστή, ανάλογα με τον τύπο κακόβουλου λογισμικού που υπάρχει.

Push Notifications Hack

Το έχουμε δει αυτό από τους τελευταίους μήνες όπου οι χάκερ εμφανίζουν επίσης ειδοποιήσεις push του προγράμματος περιήγησης στους επισκέπτες σας. Συνήθως αυτές οι ειδοποιήσεις push παραπέμπουν σε ιστότοπους με πορνό.

Ανακατεύθυνση συγκεκριμένης γεωγραφίας

Σε ορισμένες περιπτώσεις, ορισμένοι επισκέπτες σας μπορεί να δουν μια ανακατεύθυνση και κάποιοι όχι. Αυτό μπορεί να οφείλεται στο ότι οι χάκερ προγραμματίζουν το κακόβουλο λογισμικό να λειτουργεί μόνο για συγκεκριμένες γεωγραφικές περιοχές. Το πού ακριβώς ανακατευθύνει το κακόβουλο λογισμικό μπορεί επίσης να προσαρμοστεί γεωγραφικά από χάκερ.

 

Συμπτώματα

  • Ανακατεύθυνση σε ανεπιθύμητες ή κακόβουλες ιστοσελίδες
  • Τα αποτελέσματα αναζήτησης Google για τον ιστότοπό σας είναι γεμάτα ανεπιθύμητα μηνύματα
  • Μη αναγνωρισμένες ειδοποιήσεις push στον ιστότοπό σας
  • Κακόβουλος κώδικας javascript στο αρχείο index.php
  • Μη αναγνωρισμένος κωδικός στο .htaccess
  • Ανακατεύθυνση ιστότοπου WordPress στην οθόνη επαλήθευσης ανθρώπου
  • Μη αναγνωρισμένα αρχεία στον διακομιστή με ασυνήθιστα ονόματα
  • Ύποπτοι σύνδεσμοι bit.ly: Αυτό είναι ένα νέο κόλπο που χρησιμοποιούν οι χάκερ. Οι χάκερ εισάγουν κώδικα bit.ly σε ιστότοπους, ο οποίος είναι η συντομευμένη έκδοση της πραγματικής κακόβουλης διεύθυνσης URL που προκαλεί ανακατεύθυνση. Οι σαρωτές ασφαλείας συνήθως δεν τους επισημαίνουν.

WordPress Spam Redirect: Πώς μολύνθηκε ο ιστότοπός σας στο WordPress;

Για να λέμε την αλήθεια, μπορεί να υπάρχουν δεκάδες ή περισσότερες μέθοδοι με τις οποίες οι χάκερ μπορούν να εκτελέσουν αυτό το hack. Μερικές από αυτές παρατίθενται παρακάτω:

Με την εκμετάλλευση ευπαθειών πρόσθετων (XSS)

Τα τρωτά σημεία όπως το Αποθηκευμένο σενάριο μεταξύ τοποθεσιών (XSS) στις προσθήκες WordPress καθιστούν δυνατό στους χάκερ να προσθέσουν κακόβουλο κώδικα JavaScript στον ιστότοπό σας. Όταν οι χάκερ γνωρίζουν ότι ένα πρόσθετο είναι ευάλωτο στο XSS, βρίσκουν όλους τους ιστότοπους που χρησιμοποιούν αυτό το πρόσθετο και προσπαθούν να το χακάρουν. Προσθήκες όπως η Υποστήριξη Ζωντανής Συνομιλίας του WordPress και το Elementor Pro είχαν γίνει στόχος τέτοιων exploit ανακατεύθυνσης.

Με την εισαγωγή κωδικών σε αρχεία .htaccess ή wp-config.php

Κατά τη σάρωση ενός ιστότοπου για κακόβουλο λογισμικό, τις περισσότερες φορές τα αρχεία .htaccess και wp-config.php αγνοούνται από τα δωρεάν πρόσθετα ασφαλείας. Για ιστότοπους WordPress που ανακατευθύνονται σε ιστότοπους Pharma, είδαμε ότι προστίθεται κακός κώδικας στα αρχεία .htaccess μεταμφιεσμένα ως κανονικός κώδικας. Οι χάκερ τοποθετούν τον κώδικα με τέτοιο τρόπο ώστε να μην μπορείτε καν να βρείτε αυτόν τον κωδικό κρυμμένο στο αρχείο, εκτός και αν κάνετε κύλιση πολύ προς τα δεξιά. Αυτό καθιστά πιο δύσκολο τον εντοπισμό και την κατάργηση τέτοιων παραβιάσεων ανακατεύθυνσης.

Εκτός από αυτά τα δύο αρχεία, θα πρέπει επίσης να ελέγξετε όλα τα βασικά αρχεία του WordPress, όπως functions.php, header.php, footer.php, wp-load.php, wp-settings.php κ.λπ. Κατά τη σάρωση του ιστότοπου του πελάτη μας για κακόβουλο λογισμικό, βρήκαμε τον ακόλουθο κώδικα κρυμμένο στο αρχείο .htaccess. Ανακατευθύνει τους επισκέπτες του ιστότοπου σε ιστότοπους ανεπιθύμητων και επικίνδυνων φαρμακείων.

hacked htaccess code

Με την εισαγωγή JavaScript στην κεφαλίδα του ιστότοπου

Ορισμένα πρόσθετα και θέματα σάς επιτρέπουν να προσθέσετε κώδικα στην ετικέτα <head> ή λίγο πριν από την ετικέτα </body>. Αυτό μπορεί να είναι χρήσιμο για την προσθήκη κώδικα JS για το Google Analytics, το Facebook, την κονσόλα αναζήτησης Google κ.λπ.

Έχουμε δει τέτοιες δυνατότητες να γίνονται κατάχρηση από χάκερ για ανακατεύθυνση ιστότοπου WordPress. Σε μια προσπάθεια να γίνει δύσκολη η αναζήτηση, η διεύθυνση URL του κακόβουλου ιστότοπου μετατρέπεται συχνά από μια μορφή συμβολοσειράς στους αντίστοιχους κωδικούς χαρακτήρων.

Ο κώδικας που έχει μετατραπεί μοιάζει κάπως έτσι:

obsurated code

Προσθέτοντας τους εαυτούς τους ως διαχειριστές φάντασμα στο wp-admin

Λόγω των τρωτών σημείων κλιμάκωσης των προνομίων στα πρόσθετα, μερικές φορές είναι δυνατό για τους χάκερ να δημιουργήσουν χρήστες-φαντάσματα ή ψεύτικους διαχειριστές στον ιστότοπό σας. Μόλις ο χάκερ γίνει διαχειριστής, αποκτά πλήρη πρόσβαση στον ιστότοπό σας και προσθέτει backdoors και κώδικα ανακατεύθυνσης στον ιστότοπό σας.

 

Πού είναι η μόλυνση ανακατεύθυνσης WordPress;

Βασικά αρχεία WordPress & Θέμα

Οι εισβολείς μπορούν να μολύνουν τον ιστότοπο εισάγοντας κώδικα σε οποιοδήποτε από τα βασικά αρχεία στο WordPress. Ελέγξτε αυτά τα αρχεία για κακόβουλους κωδικούς:

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • Αρχεία θεμάτων (wp-content/themes/{themeName}/)
  • footer.php
  • header.php

Capture-1

  • functions.php

Όλα τα αρχεία JavaScript

Ορισμένες παραλλαγές του κακόβουλου λογισμικού ανακατεύθυνσης μολύνουν ΟΛΑ τα αρχεία JavaScript(.js) στους ιστότοπους. Αυτό περιλαμβάνει τα αρχεία JS στους φακέλους wp-include, plugin, θεμάτων κ.λπ. Ο ίδιος ασαφής κώδικας προστίθεται συνήθως στην κορυφή κάθε αρχείου JS.

 

Βάση δεδομένων WordPress

Οι πίνακες wp_posts και wp_options είναι οι πιο στοχευμένοι πίνακες σε μια βάση δεδομένων WordPress. Ανεπιθύμητοι σύνδεσμοι ιστότοπου και κώδικας JS βρίσκονται συχνά σε κάθε άρθρο ή σελίδα σας.

Ψεύτικα αρχεία favicon.ico

Κάποιο κακόβουλο λογισμικό δημιουργεί αδίστακτα αρχεία favicon.ico ή τυχαία αρχεία .ico στον διακομιστή σας που περιέχουν κακόβουλο κώδικα PHP μέσα τους. Αυτός ο κακόβουλος κώδικας PHP είναι γνωστό ότι εκτελεί επικίνδυνες ενέργειες σε ιστότοπους, όπως ένεση URL, δημιουργία λογαριασμών διαχειριστή, εγκατάσταση spyware/trojans, δημιουργία σελίδων phishing κ.λπ. 

Ρυπαίνει τον διακομιστή σας με αρχεία ανεπιθύμητης αλληλογραφίας. Αυτά τα αρχεία περιέχουν κακόβουλο κώδικα μέσα τους αντί για τον γνήσιο κώδικα εικόνας εικονιδίου.

Ορισμένοι από τον κώδικα που χρησιμοποιείται για τη φόρτωση τέτοιων αρχείων μπορείτε να δείτε παρακάτω: @include “\x2f/sg\x62/fa\x76ico\x6e_54\x656ed\x2eico”;

 

Hack ανακατεύθυνσης WordPress – Σάρωση WordPress για κακόβουλο λογισμικό ανακατεύθυνσης:

Για να ξεκινήσετε με τη διαδικασία σάρωσης κακόβουλου λογισμικού, θα πρέπει πρώτα να προσδιορίσετε τον τύπο της εισβολής ανακατεύθυνσης που αντιμετωπίζει ο ιστότοπός σας. Αφού το κάνετε αυτό, ανατρέχοντας στα βήματα που δίνονται παραπάνω, θα πρέπει να βρούμε πραγματικά τον κακόβουλο κώδικα και να τον αφαιρέσουμε από τον ιστότοπό σας. Μπορείτε είτε να επιλέξετε μια αυτοματοποιημένη λύση σάρωσης κακόβουλου λογισμικού είτε να προχωρήσετε σε μια μη αυτόματη προσέγγιση.

Ακολουθούν ορισμένα βήματα που μπορείτε να ακολουθήσετε για την κατάργηση κακόβουλων ανακατευθύνσεων από τον ιστότοπό σας και την διόρθωση του hack.

1. Χρησιμοποιήστε κάποιο malware Scanner

Για χρήστες του WordPress που δεν είναι και τόσο τεχνικοί, μια λύση scanner είναι ο ταχύτερος και ευκολότερος τρόπος για να βρείτε, να αφαιρέσετε και να διορθώσετε το πρόβλημα ανακατεύθυνσης του WordPress χωρίς να “διαλυθεί” ο ιστότοπός σας. Εάν θέλετε να σαρώσετε με μη αυτόματο τρόπο τον ιστότοπό σας και να βρείτε μια λύση με βάση τον τύπο της εισβολής ανακατεύθυνσης που αντιμετωπίζετε, ακολουθήστε καθένα από τα βήματα που δίνονται παρακάτω.

2. Ελέγξτε με τα online εργαλεία σάρωσης ασφαλείας

Ως προκαταρκτικός έλεγχος, μπορείτε να σαρώσετε τον ιστότοπό σας χρησιμοποιώντας εργαλεία όπως ο δωρεάν σαρωτής ασφαλείας του Astra και η Ασφαλής περιήγηση Google. Εάν ο ιστότοπός σας έχει συνδέσμους προς τυχόν διευθύνσεις URL στη μαύρη λίστα, θα ειδοποιηθείτε από αυτά τα εργαλεία. Θα λάβετε επίσης μια σύντομη λίστα (όχι εξαντλητική) με ορισμένα από τα κακόβουλα αποσπάσματα κώδικα που βρίσκονται στον ιστότοπό σας. Για μια λεπτομερή σάρωση, θα πρέπει είτε να σαρώσετε όλα τα αρχεία ιστότοπου με μη αυτόματο τρόπο είτε να κάνετε μια σάρωση για κακόβουλο λογισμικό.

3. Επαληθεύστε την ακεραιότητα του βασικού αρχείου WordPress

Για να δείτε εάν κάποιος κακόβουλος κώδικας έχει εισαχθεί στα βασικά αρχεία του WordPress, μπορείτε να εκτελέσετε έναν έλεγχο ακεραιότητας αρχείων χρησιμοποιώντας το WP-CLI. Για να εκτελέσετε τέτοιους ελέγχους, ακολουθήστε τα εξής βήματα:

  1. Συνδεθείτε στον διακομιστή σας μέσω SSH
  2. Εγκαταστήστε το WP-CLI
  3. Αλλάξτε τον κατάλογο στην τοποθεσία όπου έχετε εγκαταστήσει το WordPress cd /var/www/html/
  4. Ελέγξτε το τρέχον WordPress σας με την ακόλουθη εντολή wp core έκδοση
  5. Τώρα εκτελέστε την εντολή  wp core verify-checksums
  6. Κοιτάξτε την έξοδο από την παραπάνω εντολή.
  7. Μερικές προειδοποιήσεις είναι εντάξει.
  8. Ωστόσο, εάν τα βασικά αρχεία δεν ταιριάζουν με τα αθροίσματα ελέγχου, ίσως χρειαστεί να αντικαταστήσετε τα βασικά αρχεία σας ή να επαναφέρετε ένα αντίγραφο ασφαλείας.

4. Αφαιρέστε τις κρυφές κερκόπορτες και ανακατευθύνετε τον κώδικα

Οι χάκερ συνήθως αφήνουν έναν τρόπο να επιστρέψουν στον ιστότοπό σας. Οι κερκόπορτες συνήθως υπάρχουν σε αρχεία που ονομάζονται ακριβώς όπως τα νόμιμα αρχεία. Μπορείτε να κάνετε μη αυτόματη αναζήτηση στα αρχεία των ιστοτόπων σας για κοινές κακόβουλες λειτουργίες PHP όπως eval, base64_decode, gzinflate, preg_replace, str_rot13, eval κ.λπ.

Λάβετε υπόψη ότι αυτές οι λειτουργίες χρησιμοποιούνται επίσης από πρόσθετα WordPress για νόμιμους λόγους, επομένως φροντίστε να δημιουργήσετε αντίγραφο ασφαλείας ή να λάβετε βοήθεια ώστε να μην καταστρέψετε κατά λάθος τον ιστότοπο.

5. Δείτε αν προστέθηκαν νέοι χρήστες διαχειριστή

Συνδεθείτε στην περιοχή διαχειριστή του WordPress και ελέγξτε εάν έχουν προστεθεί χρήστες φάντασμα/άγνωστοι διαχειριστές. Οι χάκερ προσθέτουν συνήθως τους εαυτούς τους ως διαχειριστές, ώστε να διατηρούν την πρόσβαση στον ιστότοπό σας και να τον μολύνουν εκ νέου ακόμα και μετά την κατάργηση της εισβολής ανακατεύθυνσης.

Εάν βρείτε τέτοιους χρήστες, διαγράψτε γρήγορα τους λογαριασμούς και αλλάξτε τους κωδικούς πρόσβασης για όλους τους άλλους λογαριασμούς διαχειριστή. Ενώ είστε σε αυτό, βεβαιωθείτε επίσης (ανάλογα με τις απαιτήσεις του ιστότοπού σας) ότι η επιλογή Συνδρομή που ονομάζεται “Όποιος μπορεί να εγγραφεί” είναι απενεργοποιημένη και η επιλογή “Νέος προεπιλεγμένος ρόλος χρήστη” έχει οριστεί σε Συνδρομητής.

new user

6. Σάρωση αρχείων plugins και θεμάτων

Ελέγξτε για ψεύτικα και ευάλωτα plugin

Κάντε κλικ στο «Πρόσθετα» στο αριστερό πλαίσιο για να δείτε όλα τα πρόσθετα που είναι εγκατεστημένα στον ιστότοπό σας. Εάν βλέπετε άγνωστα πρόσθετα, διαγράψτε τα. Για προσθήκες που έχουν διαθέσιμες ενημερώσεις, ελέγξτε το αρχείο καταγραφής αλλαγών της προσθήκης WordPress εάν έχουν εντοπιστεί πρόσφατα ζητήματα ασφαλείας. Επίσης, σαρώστε τα αρχεία της προσθήκης για backdoors και κώδικα ανακατεύθυνσης όπως αναφέρεται στο βήμα #4 παραπάνω.

 

7. Αναζήτηση στη βάση δεδομένων για κακόβουλους συνδέσμους

Μπορείτε να κάνετε μη αυτόματη αναζήτηση στη βάση δεδομένων του WordPress για κοινές κακόβουλες λειτουργίες PHP, όπως κάναμε εμείς για να βρούμε backdoors. Συνδεθείτε σε ένα εργαλείο διαχείρισης βάσης δεδομένων όπως το phpMyAdmin ή το Adminer. Επιλέξτε τη βάση δεδομένων που χρησιμοποιεί ο ιστότοπός σας και αναζητήστε όρους όπως <script>, eval, base64_decode, gzinflate, preg_replace, str_replace κ.λπ.

Να είστε πολύ προσεκτικοί προτού κάνετε οποιεσδήποτε αλλαγές, καθώς ακόμη και μια μικροσκοπική αλλαγή, όπως ένας χώρος, έχει τη δυνατότητα να διακόψει τη φόρτωση του ιστότοπου ή να λειτουργήσει σωστά.

WordPress Hacked Redirect: Πώς να καθαρίσετε τον ιστότοπό σας;

Τώρα που έχετε σαρώσει τον ιστότοπό σας και έχετε εντοπίσει τον κακόβουλο κώδικα, πρέπει να τον αφαιρέσουμε. Ξεκινήστε λαμβάνοντας αντίγραφο ασφαλείας των αρχείων και της βάσης δεδομένων του ιστότοπού σας (ακόμα και αν έχουν μολυνθεί).

  1. Συνδεθείτε στον διακομιστή σας για να μπορείτε να δείτε και να θέσετε σε καραντίνα τα κακόβουλα αρχεία.
  2. Μπορείτε να χρησιμοποιήσετε τη Διαχείριση αρχείων που παρέχεται στο cPanel ή παραδοσιακές μεθόδους όπως (s)FTP ή SSH.
  3. Τώρα επεξεργαστείτε τα αρχεία που επισημάνθηκαν στα προηγούμενα βήματα.
  4. Προσδιορίστε τα bit κακόβουλου λογισμικού στο αρχείο και αφαιρέστε τον κώδικα.
  5. Εάν ολόκληρο το αρχείο είναι κακόβουλο, μπορείτε να διαγράψετε ολόκληρο το αρχείο.
  6. Εάν έχετε βρει πολλά αρχεία με το ίδιο bit κακόβουλου κώδικα, μπορείτε να χρησιμοποιήσετε τις εντολές find & sed Linux μέσω SSH.
  7. Παρακαλούμε να είστε πολύ προσεκτικοί όταν χρησιμοποιείτε αυτά για τις αλλαγές που δεν μπορούν να αντιστραφούν.
  8. Παράδειγμα: βρείτε το /path/to/your/folder -name “.js” -exec sed -i “s//ReplaceWithMalwareCode*//n&/g” “{}” ;
  9. Αφού καθαριστούν όλα τα αρχεία και η βάση δεδομένων, μην ξεχάσετε να καθαρίσετε την προσωρινή μνήμη του ιστότοπου
  10. Βεβαιωθείτε ότι ο ιστότοπός σας δεν ανακατευθύνεται πλέον επισκεπτόμενος τον ιστότοπό σας σε κατάσταση Ιδιωτικής περιήγησης/Ανώνυμη περιήγηση.

Συμπέρασμα

Οι χάκερ πάντα εξελίσσουν τις μεθόδους τους, εκμεταλλεύονται τρωτά σημεία που δεν είναι γνωστά στον κόσμο και συνδυάζουν διάφορα exploits για να δημιουργήσουν ένα hack.

LV8-SIGNATURE-B

Έχεις απορίες;
Κλείσε ραντεβού τώρα και λύσε όλες σου τις απορίες!
Κλείσε ραντεβού!
No Thanks