歹意攻击者最罕用的策略之一是将歹意重定向恶意软件增加到站点,以将流量驱动到另一个站点。这不仅对网站所有者不利,而且对网站访问者也不利。歹意重定向通常会将毫无戒心的站点访问者带到垃圾邮件站点,甚至可能会用难以打消的恶意软件感化用户计算机的站点。
在这篇文章中,北京六翼信息技术有限公司的开发工程师就什么是歹意重定向恶意软件、黑客为何应用这种策略、如何确定您的网站是否受到此恶意软件的影响以及从歹意重定向恶意软件的影响中复原您的网站的一些可能解决方案。
此外,咱们将概述一些重要步骤,以确保您的站点在复原后依然受到爱护。
什么是歹意重定向恶意软件?
歹意重定向是一种代码,通常是 Javascript,它被插入到一个网站中,目标是将网站访问者重定向到另一个网站。通常,这种恶意软件会被攻击者增加到 WordPress 网站,目标是在另一个网站上产生广告印象。然而,一些歹意重定向可能会产生更重大的影响。更重大的歹意重定向能够利用站点访问者计算机中的潜在破绽。这种类型的恶意软件旨在装置感化集体计算机的恶意软件,这些恶意软件会对用户的 Mac 或 Windows 计算机造成极大的毁坏。
确定您的网站是否被感化
网站所有者可能不晓得他们的网站正在重定向。通常,歹意重定向是暗藏的,因而只有未经身份验证(未登录的用户)才会被重定向。或者,它可能会检测用户在拜访网站时应用的浏览器,并仅应用该特定浏览器进行重定向。例如,如果他们的指标是应用只能感化易受攻击的 Chrome 版本的恶意软件来利用集体计算机,那么只有那些应用歹意脚本检测到的那个版本的人才会被重定向。可能须要进行一些考察能力确定产生了什么。
网站所有者可能会尝试复制客户报告的重定向,后果却发现在他们的计算机上一切正常。挪动平台上的网站访问者可能同时遇到歹意流动。重定向可能产生在某些页面上而不是其余页面上。或者,它甚至可能在网站加载之前产生。
为什么我的 WordPress 网站会重定向到另一个网站?
如果您的站点正在重定向,攻击者能够应用几种办法来创立重定向。当然,这些都是创立重定向的十分无效的办法,然而,在歹意状况下,这些相对不合乎站点访问者的最佳利益。以下是攻击者用来重定向的一些办法。重定向的次要办法包含 .htaccess 重定向或 Javascript 重定向。在极少数状况下,您可能会找到 HTTP 标头(例如,META HTTP-EQUIV=REFRESH 重定向),但这种状况很少见。在许多状况下,重定向被混同了,这意味着函数被用来暗藏代码的实在用意。这种混同通常是呈现问题的第一个要害,但攻击者打赌大多数 WordPress 网站所有者会被混同吓到,不想深刻开掘。
WordPress 建站
重定向感化的确切地位在哪里?
黑客会在多个区域插入他们的恶意代码能够导致 WordPress 重定向被黑客攻击产生。
1.PHP 文件
攻击者能够通过将代码插入任何 WordPress 外围文件来感化您的站点。以下是一些可能蕴含导致您呈现问题的恶意代码的文件:
攻击者能够通过在 WordPress 的任何外围文件中注入代码来感化该网站。查看这些文件中的恶意代码。如果您不确定哪些代码是恶意代码,哪些不是,您能够随时将这些文件与 WordPress 外围或您的主题和插件文件的已知良好正本进行比拟
l joowp.com
l index.php
l wp-config.php
l wp-settings.php
l wp-load.php
l .htaccess
l Theme files (wp-content/themes//)
n header.php
n functions.php
n footer.php
2.JavaScript 文件
某些重定向恶意软件的变领会影响您网站上的所有 JavaScript (.js) 文件。这将包含插件、主题文件夹和 wp-includes 中的 Javascript 文件。
通常,雷同的恶意代码会增加到每个 JavaScript 文件的最顶部或底部。
3..htaccess 文件
您的 .htaccess 文件是一组指令,告诉您的网络服务器在收到站点访问者的申请后立刻做什么。它在 PHP 之前参加,在对您的数据库进行任何调用之前,它能够检测某些“环境变量”,这些“环境变量”告诉您的服务器一些对于用户所在零碎的信息,例如他们的浏览器、计算机类型,即便申请您网站的页面来自搜索引擎抓取工具。
如果您不相熟一般 WordPress .htaccess 文件的外观,.htaccess 中的大部分代码可能会令人困惑。而且,如果您将 .htaccess 文件下载到您的硬盘驱动器以进行更深刻地查看,它通常会在您身上隐没,因为许多集体计算机将此文件类型视为“暗藏文件”。
将恶意代码增加到 .htaccess 文件中的十分常见的 Pharma hack 通常只会重定向来自搜索引擎后果页面的网站访问者。
黑客将他们的恶意代码以一种您无奈找到的形式搁置在文件中,除非您向右滚动很远。这使得发现和删除这些重定向黑客变得更加艰难。
- WordPress 数据库
wp_options 和 wp_posts 表通常是 WordPress 数据库中的表,黑客将其作为插入歹意重定向的指标。Javascript 代码能够嵌入您的每个帖子甚至所有帖子中。如果重定向暗藏在小部件中,您通常还能够在 wp_options 表中找到重定向。
- 假 favicon.ico 文件
存在恶意软件,它会在您网站的服务器上创立一个随机的 .ico 文件或流氓 favicon.ico 文件,其中蕴含歹意的 PHP 代码。这些 .ico 文件将蕴含歹意重定向,而后将其蕴含在您网站上的另一个文件中。
@include “/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico”;
疾速从歹意重定向中复原
如果您受到歹意重定向攻打,从此类恶意软件中复原得最快、最简略的办法是从已知良好的备份中复原。如果您应用 BackupBuddy 定期备份您的网站,那么您晓得您有一个蕴含您网站的良好正本的最新备份。从已知的良好备份复原您的网站是让您的网站疾速复原和运行的绝佳形式。
当然,如果您运行的站点的内容常常更改,那么避免歹意重定向的最佳办法就是做好最近的备份和入侵检测,这样您就能够迅速收到问题警报。通过这种形式,您能够疾速采取行动并最大限度地缩小停机工夫。
当然,您还必须查看拜访日志以确定黑客是如何进入并进行重定向的。
对于附加域的阐明
WordPress 网站被黑客入侵的最常见形式之一是来自未保护的附加域或在您的托管帐户中额定装置 WordPress。兴许您设置了一个测试站点以查看某些货色是否能够在同一账户中运行,但您遗记了该装置。黑客发现它并利用未保护站点中的破绽在您的主站点上装置恶意软件。或者,兴许您将家人的网站也托管在同一空间以节俭资金,但他们正在重复使用泄露的明码。
最好在一个主机账户中领有一个 WordPress 站点,或者如果您在同一个主机账户中应用多个站点,请确保它们彼此隔离,并为每个站点应用不同的基于服务器的用户。这样,就不会产生从一个软弱站点到另一个相邻站点的穿插净化。
如果您的托管账户中的确有多个站点,则须要将在同一空间中运行的所有站点(例如,在 public_html 下运行的所有站点)视为它们都被歹意重定向恶意软件净化了。如果您的确有这样的状况,请确保为该托管实例中的每个站点实现这些步骤中的每一个。如果您不确定,请征询您的托管服务提供商。
扫描您的网站以查找 WordPress 重定向黑客恶意软件
如果您没有最近的洁净备份,您依然能够自行删除恶意软件。这样做可能是一个乏味的过程,您须要寻找的不仅仅是重定向恶意软件。重定向恶意软件最常见的是随同着其余恶意软件,包含后门程序和流氓管理员用户,您还须要确定黑客是如何进入的,通常称为“入侵向量”。不采取整体办法来革除恶意软件会确保重定向问题再次出现。
1. 备份网站
是的,即便该站点已被感化,您仍心愿保留所产生事件的证据。将任何黑客攻击视为犯罪现场,您会想晓得产生了什么以及产生的工夫。当您确定入侵是如何产生的时,文件工夫戳将有助于您的考察,从而避免它再次发生。
- 确定是否须要敞开网站
应用歹意重定向,您可能心愿临时敞开您的站点以进行保护。并非所有重定向都能够保障这一点,但如果您的网站重定向到一个可能侵害用户计算机的中央,将网站敞开一段时间能够避免进一步的侵害。
如果您认为黑客可能仍在该网站上流动(如果您不晓得,请假如他们是),敞开该网站并使其无法访问能够避免进一步的毁坏。
每种状况都会有所不同;您须要依据正在产生的事件做出决定。
3. 将站点复制到本地驱动器
保留备份,将站点复制到本地驱动器。咱们倡议应用文本编辑器在本地驱动器上进行清理,并在本地比拟并查看所有文件——从 PHP 和 Javascript 文件到 .htaccess 文件——在 Internet 无法访问的本地状况下。这样,您就有了一个查看文件的受控环境。您能够下载 WordPress 的全新正本、您的主题和您的插件,并将文件与您的被黑站点进行比拟,以查看哪些文件被更改,哪些文件基本不属于。您能够应用许多文件比拟工具。
4. 删除重定向和暗藏的后门
当您查看文件时,您能够将其中蕴含恶意软件的文件替换为已知完整的正本,或者如果您违心这样做,您能够删除不应该存在的文件(通常是后门)和代码行那不应该与文本编辑器一起存在。
查看您的 /wp-content/uploads 目录和所有不应存在的 PHP 文件的子目录。
有些文件将不同于您从 WordPress.org 存储库下载的任何文件。这些文件包含您的 .htaccess 文件和 wp-config.php 文件。这些将须要仔细检查是否有任何谬误的恶意代码。两者都能够蕴含重定向,并且 wp-config.php 文件能够蕴含后门。
5. 将清理后的文件上传到您的服务器
要立刻革除所有恶意软件,避免拜访被黑站点上流动的任何后门,请将清理后的站点上传到与被黑站点相邻的地位。例如,如果您被黑的网站位于 /public_html/ 下,则将您的洁净网站上传到它旁边的 /public_html_clean/。在那里,将实时 /public_html/ 目录重命名为 /public_html_hacked/ 并将 /public_html_clean/ 重命名为 public_html。如果您抉择在清理过程开始时不敞开站点,这只须要几秒钟,并且能够最大限度地缩小停机工夫。它还能够避免您通过与沉闷的攻击者玩“打地鼠”游戏来尝试清理受到攻打的被黑网站。
当初文件已清理,您还有一些工作要做。仔细检查该站点在前端以及 wp-admin 中是否失常。
6. 寻找歹意管理员用户
查找增加到您站点的任何歹意治理用户。返回 wp-admin > users 并仔细检查所有管理员用户是否无效。
7. 更改所有治理明码
思考所有管理员账户都受到威逼并为所有账户设置新密码。
- 避免歹意注册
返回 wp-admin > settings > general 并确保禁用名为“Anyone Can Register”的“Membership”设置。如果您须要用户注册,请确保“新用户默认角色”仅设置为订阅者,而不是管理员或编辑。
- 在数据库中搜寻任何歹意链接
手动搜寻您的 WordPress 数据库以查找歹意 PHP 函数,其形式与查找文件零碎中的问题的形式相似。为此,请登录 PHPMyAdmin 或其余数据库管理工具并抉择您的站点正在应用的数据库。
而后搜寻以下术语:
l 评估
l 脚本
l Gzinflate
l Base64_解码
l str_replace
l preg_replace
在更改数据库中的任何内容之前要分外小心。即便是十分小的更改,例如不小心增加了一个空格,也可能导致您的网站解体或无奈失常加载。
10. 爱护网站
因为产生了入侵,您须要假如与您的站点相干的所有内容都已受到侵害。在您的托管账户面板中更改您的数据库明码,并在您的 wp-config.php 文件中更改凭据,以便您的 WordPress 站点能够登录到您的 WordPress 数据库。
此外,更改您的 SFTP/FTP 明码,甚至更改您的 cPanel 或主机账户的明码。
11. 查看谷歌问题
登录到您的 Google Search Console,看看您是否有任何歹意网站正告。如果是这样,请查看它们以查看您的修复是否已解决问题。如果是这样,申请审查。
12. 更新或删除任何易受攻击的软件
如果您有任何须要更新的软件、主题、插件或外围,请立刻更新。如果您应用的插件中存在尚未修补的破绽,请停用并从您的站点中齐全删除该软件。
此时,如果您已锁定您的网站,您能够删除保护告诉以使您的网站再次可拜访。
对于 WordPress 建站的问题,欢送留言探讨,关注“六翼开源”专一 WordPress 建站服务。