恶意攻击者最常用的策略之一是将恶意重定向恶意软件添加到站点,以将流量驱动到另一个站点。这不仅对网站所有者不利,而且对网站访问者也不利。恶意重定向通常会将毫无戒心的站点访问者引向垃圾邮件站点,甚至可能会用难以消除的恶意软件感染用户计算机的站点。在本文中,北京六一信息技术有限公司的开发工程师讨论了什么是恶意重定向恶意软件,黑客为什么使用这种策略,如何判断您的网站是否受到此恶意软件的影响,以及如何将恶意重定向转换为恶意软件从软件的影响中恢复您的网站的一些可能的解决方案。此外,我们将概述一些重要步骤,以确保您的站点在恢复后仍然受到保护。什么是恶意重定向恶意软件?恶意重定向是一种代码,通常是Javascript,它被插入到一个网站中,目的是将网站访问者重定向到另一个网站。通常,此恶意软件是由攻击者添加到WordPress网站的,目的是在另一个网站上产生广告印象。但是,一些恶意重定向可能会产生更严重的影响。更严重的恶意重定向可以利用站点访问者计算机中的潜在漏洞。这种类型的恶意软件旨在安装感染PC的恶意软件,并可能对用户的Mac或Windows计算机造成严重破坏。确定您的网站是否被感染网站所有者可能不知道他们的网站正在被重定向。通常,恶意重定向是隐藏的,因此只有未经身份验证(未登录的用户)才会被重定向。或者,它可能会检测用户在访问网站时使用的浏览器,并仅使用该特定浏览器进行重定向。例如,如果他们的目标是利用只能感染易受攻击的Chrome版本的恶意软件来利用PC,则只有使用恶意脚本检测到的该版本的用户才会被重定向。可能需要进行一些调查才能确定发生了什么。网站所有者可能会尝试复制客户报告的重定向,结果发现在他们的计算机上一切正常。移动平台上的网站访问者可能同时遇到恶意活动。重定向可能发生在某些页面上而不是其他页面上。或者,它甚至可能在网站加载之前发生。为什么我的WordPress网站会重定向到另一个网站?如果您的站点正在重定向,攻击者可以使用多种方法来创建重定向。当然,这些都是创建重定向的非常有效的方法,但是,在恶意情况下,这些绝对不符合站点访问者的最佳利益。以下是攻击者用于重定向的一些方法。重定向的主要方法包括.htaccess重定向或Javascript重定向。在极少数情况下,您可能会发现HTTP标头(例如,METAHTTP-EQUIV=REFRESH重定向),但这种情况很少见。在许多情况下,重定向被混淆了,这意味着函数被用来隐藏代码的真实意图。这种混淆通常是第一个出错的地方,但攻击者打赌大多数WordPress网站所有者会被混淆吓倒,不想深入挖掘。WordPress网站构建器重定向感染的确切位置在哪里?黑客将他们的恶意代码插入多个区域,这可能会导致WordPress重定向黑客攻击发生。1.PHP文件攻击者可以通过将代码插入任何WordPress核心文件来感染您的站点。以下是一些可能包含导致问题的恶意代码的文件:攻击者可以通过在任何WordPress核心文件中注入代码来感染网站。检查这些文件中的恶意代码。如果您不确定哪些代码是恶意的,哪些不是,您可以随时将这些文件与WordPress核心或您的主题和插件文件的已知良好副本进行比较ljoowp.comlindex.phplwp-config.phplwp-settings.phplwp-load.phpl.htaccessl主题文件(wp-content/themes//)nheader.phpnfunctions.phpnfooter.php2.JavaScript文件重定向恶意软件的某些变体会影响您网站上的所有JavaScript(.js)文件.这将包括wp-includes中的插件、主题文件夹和Javascript文件。通常,相同的恶意代码会添加到每个JavaScript文件的最顶部或底部。3..htaccess文件你的.htaccess文件是一组指令,告诉你的网络服务器在收到站点访问者的请求后立即做什么。它在PHP之前介入,并且在对您的数据库进行任何调用之前,它可以检测某些“环境变量”,这些“环境变量”告诉您的服务器有关用户所在系统的一些信息,例如他们的浏览器、计算机类型,即使请求您网站的页面来自搜索引擎爬虫。如果您不熟悉普通WordPress.htaccess文件的样子,.htaccess中的大部分代码可能会令人困惑。此外,如果您将.htaccess文件下载到您的硬盘驱动器以进行更深入的查看,它通常会在您身上消失,因为许多个人计算机将此文件类型视为“隐藏文件”。将恶意代码添加到.htaccess文件的非常常见的Pharmahack通常只是将网站访问者从搜索引擎结果页面重定向。黑客将他们的恶意代码放置在文件中,除非您向右滚动很远才能找到它。这使得发现和删除这些重定向黑客变得更加困难。WordPress数据库wp_options和wp_posts表通常是WordPress数据库中的表,黑客将其作为插入恶意重定向的目标。Javascript代码可以嵌入到您的每个甚至所有帖子中。如果重定向隐藏在小部件中,您通常也可以在wp_options表中找到它们。存在虚假的favicon.ico文件恶意软件,它会在您网站的服务器上创建一个包含恶意PHP代码的随机.ico文件或流氓favicon.ico文件。这些.ico文件将包含恶意重定向,然后将其包含在您网站上的另一个文件中。@include"/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";从恶意重定向中快速恢复如果您受到恶意重定向的攻击,从此类恶意软件中恢复的最快和最简单的方法最好的方法是从已知良好的备份中恢复。如果您定期使用BackupBuddy备份您的网站,那么您就知道您拥有一个包含您网站的良好副本的最新备份。从已知的良好备份恢复您的网站是让您的网站快速恢复和运行的绝佳方式。当然,如果您运行的网站内容经常更改,那么防止恶意重定向的最佳方法是进行最新备份和入侵检测,这样您就可以快速收到问题警报。通过这种方式,您可以迅速采取行动并将停机时间降至最低。当然,您还必须查看访问日志以确定黑客是如何进入和重定向的。关于附加域的说明WordPress网站被黑客入侵的最常见方式之一是来自未维护的附加域或您的托管帐户上的其他WordPress安装。也许您设置了一个测试站点以查看某些东西是否可以在同一个帐户中运行,但是您忘记了安装它。黑客找到它并利用未维护站点中的漏洞在您的主站点上安装恶意软件。或者,也许您在同一个空间托管您家人的网站以节省资金,但他们正在重复使用泄露的密码。最好在一个主机帐户上拥有一个WordPress站点,或者如果您在同一个主机帐户上使用多个站点,请确保它们彼此隔离,并为每个站点使用不同的基于服务器的用户。这样,就不会发生从一个脆弱站点到另一个相邻站点的交叉污染。如果您的托管帐户中确实有多个站点,则需要将在同一空间中运行的所有站点(例如,在public_html下运行的所有站点)视为都被恶意重定向恶意软件感染。如果您遇到这种情况,请务必为该托管实例中的每个站点完成这些步骤中的每一个。如果您不确定,请咨询您的托管服务提供商。扫描您的网站以查找WordPress重定向黑客恶意软件如果您没有最近的干净备份,您仍然可以自行删除恶意软件。这样做可能是一个乏味的过程,您需要寻找的不仅仅是重定向恶意软件。重定向恶意软件最常伴随其他恶意软件,包括后门程序和流氓管理员用户,您还需要确定黑客是如何进入的,通常称为“入侵向量”。不采取整体方法来清除恶意软件将确保重定向问题再次发生。1.备份您的网站是的,即使网站被感染,您仍然希望保留所发生事件的证据。将任何黑客攻击想象成犯罪现场,您会想知道发生了什么以及发生的时间。当您确定入侵是如何发生的时,文件时间戳将有助于您的调查,防止它再次发生。要确定您是否需要关闭您的站点以使用恶意重定向,您可能需要暂时关闭您的站点以进行维护。并非所有重定向都能保证这一点,但如果您的网站重定向到一个可能损害用户计算机的地方,关闭该网站一段时间可以防止进一步的损害。如果您认为黑客可能仍在该网站上活动(如果您不认为,假设他们是),则关闭该网站并使其无法访问可以防止进一步的损害。每种情况都会有所不同;您将需要根据正在发生的事情做出决定。3.将站点复制到本地驱动器保留备份,将站点复制到本地驱动器。我们建议使用文本编辑器清理本地驱动器,并在本地比较和查看所有文件-从PHP和Javascript文件到.htaccess文件-在无法访问Internet的本地。这样,您就有了一个用于检查文件的受控环境。您可以下载WordPress的全新副本、您的主题和您的插件,并将这些文件与您的被黑站点进行比较,以查看哪些文件被更改以及哪些文件根本不属于您。您可以使用许多文件比较工具。4.删除重定向和隐藏的后门当您查看文件时,您可以将其中包含恶意软件的文件替换为已知完好的副本,或者如果您愿意,您可以删除不应该存在的文件(通常是后门)和文本编辑器不应存在的代码行。检查您的/wp-content/uploads目录和子目录中是否存在不应存在的任何PHP文件。有些文件将不同于您从WordPress.org存储库下载的任何文件。这些文件包括您的.htaccess文件和wp-config.php文件。这些将需要仔细检查是否存在任何虚假的恶意代码。两者都可以包含重定向,并且wp-config.php文件可以包含后门。5.将经过清理的文件上传到您的服务器要立即删除所有恶意软件并防止访问被黑网站上活动的任何后门程序,请将经过清理的网站上传到与被黑网站相邻的位置。例如,如果您的被黑站点位于/public_html/下,请将您的干净站点上传到它旁边的/public_html_clean/。在那里,将live/public_html/目录重命名为/public_html_hacked/并将/public_html_clean/重命名为public_html。如果您选择在清理过程开始时不关闭站点,则只需要几秒钟,并将停机时间降至最低。它还可以防止您通过与活跃的攻击者玩打地鼠游戏来尝试清理受到攻击的被黑网站。现在文件已清理完毕,您还有一些工作要做。仔细检查该站点在前端和wp-admin中是否正常。6.查找恶意管理员用户查找添加到您站点的任何恶意管理员用户。转到wp-admin>users并仔细检查所有管理员用户是否有效。7.更改所有管理密码考虑到所有管理员帐户都被盗用并为所有帐户设置新密码。为防止恶意注册,请转到wp-admin>设置>常规,并确保禁用名为“任何人都可以注册”的“会员资格”设置。如果您需要用户注册,请确保“新用户默认角色”仅设置为订阅者,而不是管理员或编辑。在数据库中搜索任何恶意链接手动搜索您的WordPress数据库以查找恶意PHP函数,其方式类似于您在文件系统中查找问题的方式。为此,请登录PHPMyAdmin或其他数据库管理工具并选择您的站点正在使用的数据库。然后搜索以下术语:lratinglscriptlGzinflatelBase64_decodelstr_replacelpreg_replace在更改数据库中的任何内容之前要格外小心。即使是非常小的更改(例如意外添加空格)也可能导致您的网站崩溃或无法正常加载。10.保护您的网站由于违规,您需要假设与您网站相关的所有内容都已受到损害。在您的托管帐户面板中更改您的数据库密码,并更改您的wp-config.php文件中的凭据,以便您的WordPress站点可以登录到您的WordPress数据库。此外,更改您的SFTP/FTP密码,甚至更改您的cPanel或主机帐户密码。11.检查GoogleQuestions登录你的GoogleSearchConsole,看看你是否有任何恶意网站警告。如果是这样,请检查它们以查看您的修复是否解决了问题。如果是这样,请求审查。12.更新或删除任何易受攻击的软件如果您有任何需要更新的软件、主题、插件或内核,请立即进行。如果您使用的插件具有未修补的漏洞,请停用该软件并将其从您的站点中完全删除。此时,如果您已锁定您的站点,您可以删除维护通知以使您的站点再次可访问。关于WordPress建站问题,欢迎留言讨论,关注专注于WordPress建站服务的“六翼开源”。
