我的 Elementor Pro Wordpress 网站遭到黑客攻击，当我打开该网站时正在重定向

Question

主持人注- 虽然这是题外话，但我们暂时将其保留，因为这似乎是一个普遍存在的问题。我们不需要类似的帖子出现，并且有有用的答案。不要将此视为未来类似问题会受到欢迎的迹象。一般来说，Wordpress 管理是偏离主题的，Stack Overflow 也不是诊断任何给定网站被黑客攻击的原因的资源。

直到昨天我的网站都工作正常，我不知道从早上开始发生了什么，网站打不开，当我尝试打开它时，它会自动重定向到跟踪线网站，然后到其他网站，当我尝试登录时，它wp-admin显示这个错误：

window.stop();var step = "https://away.trackersline.com/away.php?id=43436-22-4734573234"; document.location.href=step; window.location.replace(step);

这是什么？我的网站发生了什么？我怎样才能把它拿回来？以及如何保护我的网站免受此类黑客攻击？

Answer 1

我从几个小时前开始就遇到了同样的问题。看起来它正在利用一些常见的缺陷。

我正在解决这个问题...并且可能会在一个小时左右获得更多信息。

现在我可以分享以下内容：

1. 使用WordPress | Blueshost服务器| Cloudflare CDN | 元素器
2. 16 小时前，我收到一封奇怪的电子邮件，说管理员电子邮件已更改为 ad@example.com
3. 通过网站发送的管理员电子邮件（例如创建新用户）开始出现错误。还注意到正在创建新的奇怪用户。
4. 一小时前我的网站展示了这个输出：

   window.stop();var step = "https://away.trackersline.com/away.php?id=43436-22-4734573234";
   document.location.href=step;
   window.location.replace(step);
   

之后它开始重定向到不同的网址并使用垃圾邮件和广告链接重定向。

5. 我检查了我的 .htaccess 文件和主题的 header.php、footer.php、functions.php 文件，没有发现任何异常。
6. 我检查了我的_options wordpress 表（后缀可能不是“wp”，谢谢 Dimistris 指出这个表）并且字段siteurl确实有一个被黑的 url。我已将其更改为我的网站网址，这样就可以访问 wp cpanel。
7. 在 wordpress _options 表中，以下字段mailserver_url、mailserver_login、mailserver_pass也有奇怪的值。使用其他电子邮件和密码。我不知道它应该有什么值，但 mailserver_pass 密码 yes 肯定不是一个好的值。

我将继续挖掘，当找到适合我的案例的解决方案时，我将分享它。仍然不知道是什么缺陷导致了这种情况以及如何保护它免受未来的攻击。

以下更新：

所以这里有朋友指出，该漏洞来自Elementor Pro + Woocommerce。谢谢大家，因为确实让我找到了解决问题的正确方向。更改_options 表中的 siteurl 字段，重新获得对 wp cpanel 的访问权限并将Elementor Pro 插件从版本 3.5 更新到 3.12（信息显示该漏洞从下面的 3.6 开始发生）后，情况开始恢复正常。更新 elementor 后，它还更正了表 _options 中的字段 _elementor_assets_data，因此无需弄乱那里。我确实更改了表 _options 中的以下字段 mailserver_url、mailserver_login、mailserver_pass、siteurl （以防万一）。我不太习惯使用 phpmyadmin，并且没有看到所有字段，直到我注意到列表框更改了可见结果的数量。还有搜索%away.trackersline%帮助我检查是否有剩菜。

bluehost 的垃圾邮件扫描给出了以下结果，但打开文件并检查代码后，我没有发现任何迹象。所以我猜这是一个误报，因为这与访问驱动器有关。

public_html/wp-content/plugins/use-your-drive/vendors/jquery-file-upload/SECURITY.md: SiteLock-PHP-SUSPICIOUS-fzl-logonly.UNOFFICIAL FOUND
----------- SCAN SUMMARY -----------
Known viruses: 2263445
Engine version: devel-clamav-0.99-beta1-632-g8a582c7
Infected files: 1

还进行检查以删除和更新一些插件。我有一些来自 UpdraftPlus 的备份，但真诚地，我认为不恢复它们更安全，并且不使用它们造成的损害最小。我还检查了过去一周的新用户，无论其角色如何，并删除了一些明显的垃圾邮件。

没有什么比大规模关闭网站来清理网站、思考未来、生活以及再喝一杯咖啡更好的借口了。

Answer 2

这些问题与 Elementor PRO 漏洞有关。

今天早些时候，我们的许多网站都遇到了这些问题，问题是ELEMENTOR PRO的访问控制被破坏，黑客可以修改 SITEURL、管理员电子邮件并添加新的管理员用户。

症状

1. 症状包括将主页/购物车/结帐重定向到可疑 URL https://away.trackersline.com
2. 我们收到电子邮件，管理员电子邮件已更改为 ad@example.com
3. 我们网站上有一群新管理员。

调查

对于 WordPress 网站上发生的任何重定向问题，问题出在以下位置

1. .htaccess - 普通的 301 重定向
2. wp-config - 它可能具有主页和站点 url 的重写规则
3. <?php EVAL functions主题 - 通常父主题或子主题中的 header.php、footer.php 或functions.php在开始标签之前有一些<?php
4. 插件 - 任何最近安装/更新的插件，甚至是旧的无效/破解的插件都可能为黑客提供后门。
5. 数据库 - 它在 wp_options 表下有 HOME 和 SITEURL，也可以被 wp-config.php 覆盖，但在这种情况下 SITEURL 具有可疑的 URL https://away.trackersline.com。（注意：前缀可能与您不同，因此我提到了默认的“wp_”）

解决方案

1. 使用Wordfence / Sucuri / Imunify360扫描您的网站和数据库或任何可用的扫描仪扫描您的网站和数据库。在我们的案例中，没有人检测到该漏洞，因为它是新的。
2. 通过 PHPMYADMIN 或 WP CLI 将 HOME 或 SITEURL 替换为您的站点主域。
3. 删除任何其他管理员用户，并检查“设置”>“常规”下的管理员电子邮件下的管理员电子邮件以验证其是否有效。
4. 更新 Elementor Pro，现已针对损坏的访问控制进行了修补

了解有关漏洞的更多信息：https://wpscan.com/vulnerability/73e8e030-8e8b-43de-a602-c699ab2eafaf