ไซต์ WordPress ได้กลายเป็นเหยื่อของมัลแวร์เปลี่ยนเส้นทางที่แพร่หลายอีกครั้ง เจ้าของเว็บ WordPress จำนวนมากติดต่อเราด้วยความกังวลเกี่ยวกับการเปลี่ยนเส้นทางเว็บไซต์หรือแผงผู้ดูแลระบบเกิดข้อผิดพลาด
ขณะทำความสะอาดเว็บไซต์เหล่านี้ เราสามารถวาดความคล้ายคลึงกันในรูปแบบการแฮ็กได้ เว็บไซต์ทั้งหมดเหล่านี้ติดมัลแวร์เปลี่ยนเส้นทางเดียวกัน มัลแวร์นี้เปลี่ยนเส้นทางพวกเขาไปยังโดเมนที่เป็นอันตรายก่อนโดยใช้ชื่อ buyittraffic[.com] และสุดท้ายไปยังโดเมนชื่อ sinowncrers12 [.] live, cuttraffic[.com] หรือ puttraffic[.com] หรือ importtraffic[.com] หรือ gianttraffic[.com], js. ป้ายเขียวฟรานซิสโก [com]/touch.js, dl. gotosecond2.[com]/talk.js, statistic[.]admarketlocation[.]com , stat.trackstatisticsss.[com]slan.[js], silvergatest15 [.] สด , www.wow-หุ่นยนต์.[xyz] , planeobservetoo1[.]live , dock.lovegreenpencils[.]ga/m.js?n=nb5 , cht.secondaryinformtrand[.]com/m.js?n=nb5, main.travelfornamewalking[.]ga/, irc.lovegreenpencils[.]ga/, เป็นต้น
ในหลายกรณี เรายังเห็นเว็บไซต์ต่างๆ เปลี่ยนเส้นทางไปที่ clicks.worldctraffic[.com] ก่อน , top.worldctraffic[.com], red.toupandgoforward[.com], bluelabelmoscow.[com] หรือ ticker.trasnaltemyrecords[.com] ก่อนที่จะลงจอดบนไซต์ใดไซต์หนึ่งข้างต้น
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290491.png)
เป็นตัวอย่างทั่วไปของ 'เชน' การเปลี่ยนเส้นทางมัลแวร์ ที่เว็บไซต์ถูกเปลี่ยนเส้นทางหลายครั้งก่อนที่จะลงจอดบนโดเมนที่ต้องการ
ในการตรวจสอบเพิ่มเติม ดูเหมือนว่าจะมีเว็บไซต์ไม่กี่ร้อยแห่งที่ติดมัลแวร์นี้ในขณะนี้:
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290479.png)
อาการที่บ่งบอกว่าเว็บไซต์ของคุณถูกแฮ็ก
เห็นได้ชัดว่าหน้าแรกที่เปลี่ยนเส้นทางไปยังโดเมนอื่นเป็นสัญญาณบอกเล่าของการแฮ็ก อย่างไรก็ตาม ยังมีสัญญาณอื่นๆ ติดอยู่กับมัลแวร์นี้ด้วย คุณสามารถบอกได้ว่าคุณถูกแฮ็ก หาก:
- คุณไม่สามารถเข้าถึงเว็บไซต์ได้
- คุณไม่สามารถเข้าสู่แผงควบคุม wp-admin ของคุณได้
- ผู้ดูแลระบบ wp ของคุณแสดงข้อผิดพลาด 404
- คุณเข้าสู่ระบบในพื้นที่ผู้ดูแลระบบ WordPress และทำให้เกิดข้อผิดพลาดดังต่อไปนี้:
“ข้อผิดพลาด:ไม่มีผู้ใช้ที่ลงทะเบียนด้วยที่อยู่อีเมลนั้น”
หากเว็บไซต์ของคุณมีอาการคล้ายกัน โปรดติดต่อเรา เราจะทำความสะอาดเว็บไซต์ของคุณจากการแฮ็กภายในเวลาไม่เกินสองสามชั่วโมง แต่เครื่องสแกนมัลแวร์ของเราจะพบมัลแวร์ภายในไม่กี่นาที
เทคนิคเบื้องหลังการแฮ็ก
ฉันได้กล่าวถึงวิธีที่มัลแวร์นี้เปลี่ยนเส้นทางเว็บไซต์ของคุณหลายครั้ง มาดูกันว่าจะเกิดอะไรขึ้น:
รูปภาพต่อไปนี้มาจากหนึ่งในไซต์ที่ถูกแฮ็กซึ่งมาหาเรา สังเกตชื่อโดเมน
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290515.png)
ตอนนี้ เมื่อฉันพยายามปิดแถบการแจ้งเตือนในโดเมนนี้ มันเปลี่ยนเส้นทางไปยังโดเมนเดียวกัน – 0.cuttraffic[.com].
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290621.png)
ถ้าฉันข้ามแถบการแจ้งเตือนอีกครั้ง มันเปลี่ยนเส้นทางไปที่ 1.cuttraffic[.com] เป็นต้น
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290653.png)
การตรวจสอบอย่างรวดเร็วยังยืนยันการแทรกลิงก์ buyittraffic[.com] ในเว็บไซต์
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290723.png)
กำลังเดินทางไป. เรายังเห็นหน้าการเปลี่ยนเส้นทางปรับแต่งตัวเองตามภาษาประจำภูมิภาคของเว็บไซต์ ดูภาพด้านล่าง:
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290731.png)
แฮ็กเกอร์ติดเว็บไซต์ของคุณอย่างไร
มาถึงคำถามว่าแฮกเกอร์สามารถแพร่ระบาดเว็บไซต์จำนวนมากได้อย่างไร
เหตุผลไม่ชัดเจนนัก แต่เราสงสัยว่าผู้ดูแลระบบเวอร์ชันที่มีช่องโหว่อาจเป็นสาเหตุ
ขณะทำการล้างข้อมูล เราสามารถค้นหาไฟล์ adminer.php ในโฟลเดอร์รูทของเว็บไซต์ที่ได้รับผลกระทบทั้งหมด ดังนั้นจึงปลอดภัยที่จะถือว่าแฮ็กเกอร์ใช้สคริปต์ผู้ดูแลระบบเพื่อเข้าถึงและแพร่ระบาดในฐานข้อมูล
การรวมข้อมูลข้างต้นเข้ากับข้อเท็จจริงที่ว่า adminer เวอร์ชันก่อน 4.6.3 มีช่องโหว่ร้ายแรง ช่องโหว่นี้ทำให้ผู้โจมตีสามารถอ่านไฟล์ในเครื่องบนเซิร์ฟเวอร์ได้ เช่น wp-config.php บน WordPress, local.xml บน Magento เป็นต้น ไฟล์เหล่านี้มีข้อมูลประจำตัวของฐานข้อมูลที่สามารถใช้เข้าถึงฐานข้อมูลได้
ดังนั้น เราขอแนะนำให้คุณตรวจสอบไฟล์ adminer.php บนเซิร์ฟเวอร์ของคุณและลบออก
หากต้องการรับข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการแฮ็กการเปลี่ยนเส้นทางของ WordPress โปรดดูบล็อกนี้
คุณสามารถทำอะไรเกี่ยวกับการแฮ็กได้บ้าง
คุณรู้ตัวว่าเว็บไซต์ของคุณติดไวรัส แล้วยังไงต่อ
สองสิ่ง:คุณสามารถ ให้ผู้เชี่ยวชาญทำความสะอาดเว็บไซต์ของคุณ . หรือจะลองทำความสะอาดเว็บไซต์ด้วยตัวเองก็ได้
สำหรับตัวเลือกหลัง คุณสามารถเริ่มต้นด้วยการตรวจสอบเซิร์ฟเวอร์ของคุณเพื่อหาไฟล์ที่เป็นอันตราย รู้ว่าแฮกเกอร์มักจะหาช่องโหว่หลายจุดและสร้างไฟล์ที่เป็นอันตรายบนเซิร์ฟเวอร์ คุณจะต้องตามล่าหาไฟล์ที่ติดไวรัส จากนั้นลบบิตที่ทริกเกอร์การเปลี่ยนเส้นทางออกอย่างแม่นยำ จุดสำคัญไม่กี่แห่งในการค้นหามัลแวร์ที่ทำให้เกิดการติดไวรัสนี้:
- มองหาสคริปต์ผู้ดูแลระบบ: เข้าสู่ระบบ cPanel/FTP ของเว็บไซต์และค้นหาไฟล์ชื่อ 'adminer.php' โดยปกติแล้ว ไฟล์นี้จะถูกใช้งานโดยแฮกเกอร์เพื่อออกจากการเข้าถึงแบ็คดอร์ไปยังเซิร์ฟเวอร์ หากคุณพบไฟล์นี้ ให้ลบออกทันที
- ค้นหาแบ็คดอร์นี้: ในกรณีเช่นนี้ เรามักจะพบไฟล์ที่น่าสงสัยที่ wp-content/force-download.php. อย่าลืมตรวจสอบว่าคุณพบไฟล์ force-download.php ในโฟลเดอร์ wp-content ของ WordPress หรือไม่ หากเป็นเช่นนั้น ให้ลบออก
- ตรวจสอบแหล่งที่มา: นี่เป็นหนึ่งในการตรวจสอบขั้นพื้นฐานที่สุดที่คุณควรทำ ตรวจสอบโค้ดของหน้าดัชนีและค้นหาลิงก์ที่เป็นอันตรายเหล่านี้ หากพบ โปรดนำออก
- ตรวจหาผู้ใช้ปลอม: ไปที่ wp_users ตารางฐานข้อมูลและตรวจสอบว่าไม่มีผู้ใช้ที่ไม่รู้จักและไม่ได้รับอนุญาต ด้วยความตั้งใจที่จะรักษาการเข้าถึงไซต์ที่ถูกโจมตี แฮกเกอร์จึงสร้างบัญชีผู้ดูแลระบบปลอมขึ้นมา นี้เรายังเห็นในการโจมตีครั้งนี้ ไซต์ที่ติดไวรัสส่วนใหญ่ที่มาหาเรามีผู้ใช้/ผู้ดูแลระบบที่ประสงค์ร้ายสร้างขึ้น
ID ผู้ใช้ปลอมที่รู้จักจำนวนมากที่ใช้ในการโจมตีเหล่านี้คือ admin@wsxdn.com[.com], admin@wsxdn.com[.]com (ชื่อผู้ใช้:wordpresdadmin)
คุณสามารถอ้างอิงถึงคู่มือการกำจัดมัลแวร์ WordPress นี้สำหรับกระบวนการล้างข้อมูลด้วยตนเองแบบเป็นขั้นตอน
ใครที่คลิกลิงก์ที่เป็นอันตรายเหล่านี้
หากคุณเป็นคนที่เข้าชมเว็บไซต์โปรดของคุณโดยคลิกที่ "อนุญาต" ที่ป๊อปอัปที่เป็นอันตรายเหล่านี้ นี่คือสิ่งที่คุณสามารถทำได้:
- ตรวจสอบข้อความ Push ของคุณบน Chrome หากคุณพบเว็บไซต์ใดที่คุณไม่รู้จัก ให้ปิดการใช้งานนั้น
- เรียกใช้โปรแกรมป้องกันไวรัสบนพีซีของคุณ
- อาจล้างแคชและประวัติของเบราว์เซอร์สำหรับวันนี้
จะปกป้องเว็บไซต์ของคุณได้อย่างไร
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290751.jpg)
เพื่อให้แน่ใจว่าคุณจะไม่ต้องเผชิญกับผลลัพธ์ที่น่ากลัวและมีค่าใช้จ่ายสูง ให้ลงทุนในโซลูชันการรักษาความปลอดภัยที่เชื่อถือได้ ชุดความปลอดภัยของ Astra มีไฟร์วอลล์เว็บแอปพลิเคชัน เครื่องสแกนมัลแวร์ การล้างมัลแวร์ทันที VAPT (การประเมินช่องโหว่และการทดสอบการเจาะ) และอื่นๆ ด้วยโซลูชันการรักษาความปลอดภัย WordPress ของ Astra คุณจะไม่ต้องกังวลกับสิ่งเหล่านี้อีกต่อไป
นอกจากนี้ ปลั๊กอิน WP Hardening เป็นโซลูชันที่หลากหลายโดย Astra มีการตรวจสอบเว็บไซต์และการแก้ไขความปลอดภัยในคลิกเดียวสำหรับเว็บไซต์ของคุณ ขณะนี้คุณแก้ไขพื้นที่ความปลอดภัยที่สำคัญได้มากกว่า 12 จุดด้วยเครื่องมือนี้
![เว็บไซต์ WordPress กำลังเปลี่ยนเส้นทางไปที่ buyittraffic[.com], cuttraffic[.com] &puttraffic[.com]- แก้ไขทันที](/article/uploadfiles/202210/2022103113290816.png)
บทสรุป
การแฮ็กการเปลี่ยนเส้นทางบน WordPress ไม่ใช่เรื่องใหม่ อย่างไรก็ตาม มัลแวร์เปลี่ยนเส้นทาง buyittraffic[.com] ทำให้เราประหลาดใจโดยส่งผลกระทบต่อเว็บไซต์มากกว่าหนึ่งวิธี เห็นได้ชัดว่ามีหลายสิ่งหลายอย่างเกิดขึ้นกับการติดเชื้อนี้
การแฮ็กเหล่านี้เป็นผลโดยตรงจากช่องโหว่ในไซต์ของคุณ การบำรุงรักษาไซต์ที่ไม่ดีอาจเป็นสาเหตุหนึ่งของช่องโหว่เหล่านี้ การไม่เลือกการตรวจสอบความปลอดภัยและการทดสอบช่องโหว่อาจเป็นอีกเรื่องหนึ่ง หากคุณจัดการเพื่อจัดการกับสาเหตุเหล่านี้ คุณจะมั่นใจได้ว่าคุณจะไม่ต้องค้นหาวิธีการกำจัดมัลแวร์แบบอื่น
มีข้อกังวลเฉพาะเกี่ยวกับเว็บไซต์ของคุณหรือไม่? แสดงความคิดเห็นด้านล่างหรือพูดคุยกับเรา เราสัญญาว่าจะตอบกลับ 🙂