Wordpress 사이트가 해킹됨 - 다른 사이트로 리디렉션
내 워드프레스 사이트가 해킹당했다.사이트의 링크는 사용자가 보관 중인 해커 사이트로 이동하도록 변경되었습니다.piterreceiver.ga 를 참조해 주세요.이 사이트는 브라우저가 위험하다고 플래그가 표시된 다른 사이트로 리디렉션됩니다.
또 이런 일이 있었던 사람이 있나요?가 사이트를 복원하고 재발을 방지하려면 어떻게 해야 합니까?
또, 몇개의 사이트에서도 동작을 검출했습니다만, 원인은 legalweb.io가 제공하는 DSGVO 플러그 인인 것 같습니다.
플러그인 개발자에게 알렸습니다.최적의 해결책은 _옵션을 멀웨어 코드에서 삭제하고 플러그인을 비활성화하는 것입니다.
@Jesmond Darmanin 덕분에 저는 그 해결책을 찾았습니다.그는 데이터베이스에서 발생한 "피터 수신기"를 모두 삭제하도록 설명했습니다.다음과 같이 할 수 있습니다.
- SSH를 사용하여 워드프레스 인스턴스에 연결
- 워드프레스 디렉토리로 이동합니다.
- ★★
wp db search --all-tables piterreceiver - ★★
wp db query <<< "delete from <table> where <id> = 123456"
주의하세요, 이것은 "크로바" 방식입니다.반환된 값이 더 이상 필요하지 않다고 확신할 수 있을 때(내 설치 <운 좋은 남자>의 경우) 그렇게 하십시오.
사이트 중 하나에서도 같은 것을 발견했지만 파일 내의 말웨어를 식별할 수 없었습니다만, '_options' 테이블의 'site URL'과 'home'이 변경되어 SQL 주입이 원인인 것으로 생각됩니다.어떤 악성 프로그램 도구도 파일 시스템 수준에서 아무것도 식별할 수 없기 때문에 비슷한 것을 찾을 수 없기 때문에 일종의 0일 공격인 것처럼 보입니다.모든 것이 업데이트 되어 사이트를 더 감시할 수 있도록 하고 있습니다만, 우선 취약성으로 인해 문제가 발생할 수 있는 오래된 플러그인이나 테마가 있는지 확인하는 것이 가장 어려운 작업입니다.지금 로그를 검토하고 있으며, 뭔가 발견되면 이 스레드를 업데이트하겠습니다.
이 스크립트는 Legalweb에 의한 WP DSGVO Tools(GDPR) 플러그인 및 YOAST SEO에 의한 Rewrite 규칙에서 발견되었습니다.단, 이 플러그인이 탑재되어 있는 모든 시스템이 수정되어 있는 것은 아닙니다.
해당 페이지는 주로 최근 며칠 동안 업데이트된 페이지입니다.
데이터베이스 백업으로 충분합니다.그럼에도 불구하고, 페이지 개입이 어떻게 발생했는지는 밝혀져야 한다.
사이트에서도 같은 동작이 확인되었으며 DSGVO 플러그인이 원인임을 확인할 수 있습니다.Matomo/Google Analytics 추적 코드가 악의적인 리다이렉트로 덮어쓰기되었습니다.
방금 법률 웹에 문의한 결과, 이것이 근본적인 문제임을 확인했습니다.업데이트 작업 중이지만 공격이 어떻게 수행되었는지 공유하기를 원하지 않았습니다.플러그인을 사용하지 않도록 설정하고 데이터베이스에서 리디렉션 URL을 검색하면 문제가 해결되었습니다.
제 wp-webs 사이트에서도 같은 문제가 있었습니다.
영향을 받은 파일(.php et al)은 없지만(지금까지 본 바와 같이) 데이터베이스(wp)_options의 "sp_dsgvo_legal_web_texts"에서 난독화된 코드를 찾았습니다.
이는 플러그인 "WP DSGVO TOLS (GDPR)"를 가리킵니다.
로그인이 불가능하기 때문에 플러그인 디렉토리의 서버에서 sftp를 통해 플러그인 서브폴더 shapepress-dsgvo를 삭제했습니다.
그런 다음 데이터베이스 테이블의 모든 레코드를 수동으로 삭제했습니다.
'sp_dsgvo%'와 같은 위치에서 삭제(필요에 따라 테이블 프리픽스 wp_를 변경해야 할 수도 있음)
공식 WordPress 플러그인-디렉토리가 20.09.21에서 이 플러그인을 차단했지만 설치에 영향을 주지 않으므로 수동으로 정리해야 합니다.
다른 GPR Tool을 찾으시기 바랍니다만, 지금으로서는 다시 온라인이 되는 웹사이트를 갖게 되어 기쁩니다.
결국 가장 적합한 솔루션을 찾을 수 있으므로 다음 단계를 따르십시오.
- wp-content 폴더의 이름을 변경합니다.
- 새 wp-content를 만듭니다. 이 폴더에 대한 사용 권한을 잊지 마십시오.
- 보안 한다(예: WP 보안 플러그인 설치
word fence권장되지만 원하는 대로 설치할 수 있습니다. - 이 플러그인으로 Malewares의 웹 사이트와 디렉토리를 스캔합니다.
- .
mysqldump -uUSER -pPASSWORD database --extended=FALSE | grep pattern - 4에서 를 변경 또는 는, 「4」에 ).
wp_options테이블과siteurl그리고.home변경되어 있습니다). - 템플릿의 깔끔하고 새로운 버전을 설치합니다.
- 오래된 업로드 폴더를 오래된 wp-content에서 새로운 것으로 복사합니다.
- 그러면 당신의 웹사이트가 다시 살아날 것입니다.
@David Koenig와 @Ralph Rathmann에게 감사의 말을 전하고 싶습니다.당신의 답변이 매우 도움이 되었습니다.
다른 분들의 답변과 가이드에 감사드립니다.
영향을 받는 파일을 클린/오리지널 Wordpress에서 다시 쓰는 것을 권장합니다(WP의 동일한 버전을 사용해야 합니다).
이 문제의 영향을 받은 웹 사이트를 간신히 복구했습니다.내 수정은 저장 공간을 찾기 위해 데이터베이스를 검색하는 것이었다.piterreceiver.ga 및 발견 시 실제 사이트의 URL로 대체하십시오. 저는 수정이 필요한 항목을 2개 찾았습니다.그 일이 끝나면, 나는 평소와 같이 워드프레스로 돌아갈 수 있었다.
앞서 설명한 바와 같이 문제는 플러그인 WP DSGVO Tools(GDPR)에 관한 문제이며, 이 경우 데이터베이스 엔트리는 /wp-admin/admin.admin?page=sp-dsgvo&tab=http-integrations > Matomo > Use Matomo (오프) 필드에 있는 내용을 삭제함으로써 백엔드에서도 삭제될 수 있습니다.
sucuri.net에서 wp-matrix를 스캔하여 위험성이 높은 악성코드 경보를 받았습니다.사이트에 들어가려고 하면, 「스토리지」라고 하는 메세지가 표시됩니다.piterreceiver.ga' 및 0.johncarlsberg입니다.best'(1,2 등 프리픽스로도 사용)를 지정합니다.또한 인증 오류가 발생하여 updraftBackup을 복원할 수 없었기 때문에 플러그인을 제거하고 모든 것을 업데이트하려고 했습니다.
-> 저는 WP DSGVO Tools(GDPR) 플러그인을 제거함으로써 사이트를 수정했습니다.
언급URL : https://stackoverflow.com/questions/69302385/wordpress-site-hacked-redirects-to-another-site
'programing' 카테고리의 다른 글
| MongoDB에서 $in 쿼리에 전달되는 파라미터의 최대 수는 몇 개입니까? (0) | 2023.03.13 |
|---|---|
| ng-hide/ng-show에서 복잡한 표현이 가능합니까? (0) | 2023.03.13 |
| oracle sql developer를 사용하여 데이터베이스 간에 복사 - 연결에 실패했습니다. (0) | 2023.03.13 |
| WooCommerce 주문 합계 가져오기 (0) | 2023.03.13 |
| C# 프로젝트를 빌드할 수 없습니다. (0) | 2023.03.13 |