Các trang web WordPress lại trở thành nạn nhân của phần mềm độc hại chuyển hướng phổ biến. Rất nhiều chủ sở hữu web WordPress đã liên hệ với chúng tôi lo lắng về việc trang web của họ chuyển hướng hoặc bảng quản trị gặp lỗi.
Trong khi thực hiện dọn dẹp các trang web này, chúng tôi có thể rút ra những điểm tương đồng trong phong cách hack của chúng. Tất cả các trang web này đã bị lây nhiễm bởi cùng một phần mềm độc hại chuyển hướng. Phần mềm độc hại này trước tiên đã chuyển hướng họ đến một miền độc hại có tên buyittraffic [.com] và cuối cùng là đến miền có tên sinowncrers12 [.] live, cuttraffic [.com] hoặc puttraffic [.com] hoặc importtraffic [.com] hoặc gianttraffic [.com], js. greenlabelfrancisco. [com] /touch.js, dl. gotosecond2. [com] /talk.js, thống kê [.] admarketlocation [.] com , stat.trackstatisticsss. [com] slan. [js], silvergatest15 [.] trực tiếp , www.wow-robotics. [xyz] , planeobservetoo1 [.] trực tiếp , dock.lovegreenpencils [.] ga / m.js? n =nb5 , cht.secondaryinformtrand [.] com / m.js? n =nb5, main.travelfornamewalking [.] ga /, irc.lovegreenpencils [.] ga /, vv
Trong nhiều trường hợp, chúng tôi cũng thấy các trang web chuyển hướng đầu tiên đến click.worldctraffic [.com] , top.worldctraffic [.com], red.toupandgontic [.com], bluelabelmoscow. [com] hoặc ticker.trasnaltemyrecords [.com] trước khi đến một trong các trang trên.
Đó là một ví dụ điển hình của ‘chuỗi’ chuyển hướng phần mềm độc hại. Nơi các trang web được chuyển hướng nhiều lần trước khi đến miền mong muốn.
Khi điều tra thêm, có vẻ như hàng trăm trang web hiện đã bị nhiễm phần mềm độc hại này:
Các triệu chứng cho biết trang web của bạn bị tấn công
Trang chủ chuyển hướng đến các tên miền khác rõ ràng là một dấu hiệu cho biết về vụ hack. Tuy nhiên, cũng có những dấu hiệu khác được đính kèm với phần mềm độc hại này. Bạn có thể biết mình bị tấn công, nếu:
- bạn không thể truy cập trang web.
- bạn không thể đăng nhập vào bảng điều khiển wp-admin của mình.
- wp-admin của bạn gặp lỗi 404.
- bạn đăng nhập vào khu vực quản trị WordPress và nó xuất hiện lỗi sau:
“LỖI:Không có người dùng nào đăng ký bằng địa chỉ email đó”.
Nếu trang web của bạn cũng hiển thị các triệu chứng tương tự, hãy liên hệ với chúng tôi. Chúng tôi sẽ xóa trang web của bạn về vụ hack trong vòng vài giờ. Thay vào đó, trình quét phần mềm độc hại của chúng tôi không tìm thấy phần mềm độc hại trong vòng vài phút.
Các kỹ thuật đằng sau vụ tấn công
Tôi đã đề cập đến cách phần mềm độc hại này chuyển hướng trang web của bạn nhiều lần. Hãy xem điều này xảy ra như thế nào:
Hình ảnh sau đây là từ một trong những trang web bị tấn công đến với chúng tôi. Lưu ý tên miền.
Bây giờ, khi tôi thử đóng thanh thông báo trên miền này, nó sẽ chuyển hướng tôi đến một biến thể nhỏ của cùng một miền - 0.cuttraffic [.com].
Nếu tôi vượt qua thanh thông báo một lần nữa, nó sẽ chuyển hướng đến 1.cuttraffic [.com], v.v.
Việc kiểm tra nhanh cũng xác nhận việc đưa liên kết buyittraffic [.com] vào trang web.
Tiếp tục. Chúng tôi cũng đang thấy trang chuyển hướng tự tùy chỉnh theo ngôn ngữ khu vực của các trang web. Xem hình bên dưới:
Tin tặc đã lây nhiễm trang web của bạn như thế nào?
Đi đến câu hỏi làm thế nào mà tin tặc có thể lây nhiễm nhiều trang web như vậy.
Lý do không rõ ràng như vậy nhưng chúng tôi nghi ngờ rằng một phiên bản adminer dễ bị tấn công có thể là lý do.
Trong khi thực hiện dọn dẹp, chúng tôi có thể tìm thấy tệp adminer.php trong thư mục gốc của tất cả các trang web bị ảnh hưởng. Do đó, có thể an toàn khi cho rằng tin tặc sử dụng tập lệnh adminer để truy cập và lây nhiễm cơ sở dữ liệu.
Kết hợp thông tin trên với thực tế là các phiên bản adminer trước 4.6.3 có một lỗ hổng nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công đọc các tệp cục bộ trên máy chủ, chẳng hạn như wp-config.php trên WordPress, local.xml trên Magento, v.v. Những tệp này chứa thông tin đăng nhập cơ sở dữ liệu có thể được sử dụng để truy cập cơ sở dữ liệu.
Do đó, chúng tôi khuyên bạn nên kiểm tra tệp adminer.php trên máy chủ của mình và xóa nó.
Để biết thêm thông tin chi tiết về các vụ hack chuyển hướng WordPress, hãy xem blog này.
Bạn có thể làm gì khi bị tấn công?
Bạn nhận ra trang web của mình bị nhiễm virus, bây giờ phải làm gì?
Hai điều:Bạn có thể nhờ các chuyên gia làm sạch trang web của bạn . Hoặc bạn có thể cố gắng tự dọn dẹp trang web theo cách thủ công.
Đối với tùy chọn thứ hai, bạn có thể bắt đầu bằng cách kiểm tra máy chủ của mình để tìm các tệp độc hại. Biết rằng tin tặc thường khai thác nhiều lỗ hổng và tạo các tệp độc hại trên máy chủ. Bạn sẽ phải tìm kiếm các tệp bị nhiễm. Sau đó, loại bỏ chính xác các bit đang kích hoạt chuyển hướng. Một số vị trí quan trọng để tìm kiếm phần mềm độc hại gây ra sự lây nhiễm này:
- Tìm tập lệnh adminer: Đăng nhập vào cPanel / FTP của trang web và tìm tệp có tên ‘adminer.php’. Thông thường, tệp này được tin tặc triển khai để để lại quyền truy cập cửa sau vào máy chủ. Nếu bạn tìm thấy tệp này, hãy xóa nó ngay lập tức.
- Xác định vị trí cửa hậu này: Trong những trường hợp như vậy, chúng tôi thường tìm thấy một tệp đáng ngờ tại wp-content / force-download.php. Hãy nhớ kiểm tra xem bạn có tìm thấy tệp force-download.php trong thư mục wp-content của WordPress hay không. Nếu bạn làm vậy, hãy xóa nó.
- Kiểm tra nguồn: Đây là một trong những kiểm tra cơ bản nhất mà bạn nên làm, kiểm tra mã trang chỉ mục của bạn và tìm kiếm các liên kết độc hại này. Nếu bạn tìm thấy chúng, vui lòng xóa chúng.
- Kiểm tra người dùng giả mạo: Truy cập wp_users bảng của cơ sở dữ liệu và xác minh không có người dùng không xác định và trái phép ở đó. Với ý định duy trì quyền truy cập vào các trang web bị tấn công, tin tặc tạo các tài khoản quản trị giả trong đó. Điều này chúng tôi cũng đã thấy trong cuộc tấn công này. Hầu hết các trang web bị nhiễm đến với chúng tôi đều có người dùng / quản trị viên độc hại được tạo trong đó.
Một số ID người dùng giả đã biết được sử dụng trong các cuộc tấn công này là [email protected] [.com], [email protected] [.] com (username:wordpresdadmin)
Bạn có thể tham khảo hướng dẫn loại bỏ phần mềm độc hại WordPress này để biết quy trình dọn dẹp thủ công từng bước.
Ai đó đã nhấp vào các liên kết độc hại này?
Nếu bạn là người đang truy cập trang web yêu thích của mình đã nhấp vào "allow" trên một trong những cửa sổ bật lên độc hại này, thì đây là một số điều bạn có thể làm:
- Xem lại thông báo đẩy của bạn trên chrome. Nếu bạn tìm thấy bất kỳ trang web nào mà bạn không nhận ra, chỉ cần vô hiệu hóa trang web đó
- Chạy chương trình chống vi-rút trên PC của bạn
- Có thể, xóa bộ nhớ cache và lịch sử trình duyệt cho ngày hôm nay
Làm cách nào để bảo vệ trang web của bạn?
Để đảm bảo bạn không phải đối mặt với những kết quả đáng sợ và tốn kém này, hãy đầu tư vào một giải pháp bảo mật đáng tin cậy. Bộ bảo mật Astra cung cấp tường lửa ứng dụng web, trình quét phần mềm độc hại, dọn dẹp phần mềm độc hại ngay lập tức, VAPT (Đánh giá lỗ hổng và Kiểm tra thâm nhập), v.v. Với giải pháp bảo mật WordPress của Astra, bạn sẽ không phải lo lắng về những thứ này nữa.
Hơn nữa, plugin WP Hardening là một giải pháp vô số khác của Astra. Nó cung cấp tính năng kiểm tra trang web và các bản sửa lỗi bảo mật bằng một cú nhấp chuột cho trang web của bạn. Giờ đây, bạn có thể khắc phục hơn 12 khu vực bảo mật quan trọng bằng công cụ này.
Điểm mấu chốt
Hack chuyển hướng trên WordPress không phải là mới. Tuy nhiên, phần mềm độc hại chuyển hướng buyittraffic [.com] làm chúng tôi ngạc nhiên khi ảnh hưởng đến các trang web theo nhiều cách. Rõ ràng, có rất nhiều điều đang xảy ra với sự lây nhiễm này.
Các vụ hack này là kết quả trực tiếp của các lỗ hổng trong trang web của bạn. Bảo trì trang web kém có thể là một trong những nguyên nhân gây ra những lỗ hổng này. Không chọn kiểm tra bảo mật và kiểm tra lỗ hổng bảo mật có thể là một vấn đề khác. Nếu bạn quản lý để khắc phục những nguyên nhân này, bạn có thể chắc chắn rằng mình sẽ không phải duyệt tìm một phương pháp loại bỏ phần mềm độc hại khác.
Có một mối quan tâm cụ thể về trang web của bạn? Bình luận bên dưới hoặc trao đổi với chúng tôi, chúng tôi hứa sẽ trả lời 🙂