Os ataques de redirecionamentos são muito comuns, principalmente em site WordPress, devido a sua popularidade. Sabendo disso há uma serie de seguranças que podemos aplicar para nos guardar de ter estes problemas. Na noite de hoje, dia 18/04/2019, a nossa equipe recebeu uma missão que seria a remoção de um malware, conhecido como Simpleonline (simpleonline.online).
Este malware tem duas evoluções, a simples e a avançada (cripto da cripto) e ambas são de uma complexidade e demanda de bastante trabalho.

Em um dos casos, o que talvez seja ele o mais simples, porém com um certo grau de dificuldade para chegar a uma solução, seria a versão que infecta todos os posts em seu blog, o que tornaria muito complexo em casos de sites com mais de 3.000 posts, além disso, devemos lembra, ainda, que isso daria mais de 3.500 linhas na tabela de posts para serem analisadas e editada.

Você pode estar passando por uma das duas situações que são elas, o redirecionamento ou um site um pouco mais lento e com erros no console. Quando temos o erro no console nós conseguimos fazer uma avaliação mais tranquila, tendo em vista que o site não comete o redirecionamento, levando-o a apenas alguns erros, lentidões e páginas com conteúdos quebrados.

Como remover o Malware Simpleoneline do seu site WordPress

Primeiro vamos tratar do que seria a versão um, ou se preferir a mais simples em sites pequenos. O malware adiciona um código em todas as páginas do seu site e ou em seus blogs causando os redirecionamento para sites externos. Se o seu caso for esse o código inserido em seu site conterá o seguinte link ( simpleoneline.online.js?v=1.0.6 ).

Este por sua vez executa códigos escrito no arquivo de extensão js(Javascript) que tem acessos externo ao servidor de sua hospedagem e pode ser alterado pelo cracker a qualquer momento.

Backup do site WordPress para a remoção do Malware básico

Uma das soluções é por SELECT em bando de dados ou fazendo um backup que pode ser via painel PHPMYADMIN ou usando o painel do wordpress em **FERRAMENTAS > EXPORTAR**. Após ter o arquivo do banco de dados em mãos, o primeiro de tudo seria abrir o arquivo em um editor de código e fazer uma busca (CTRL + F) pela palavra simpleoneline , fazer a remoção e posteriormente voltar o arquivo de banco de dados limpo para o servidor.

Simples né? Só que não, você precisa ter muito cuidado para não danificar o seu arquivo de banco de dados, o que levaria a perda total do site ou até mesmo deixar outras portas para que novos maleware possam acessar os seus dados. Por isso, tenha muito cuidado.

Removendo o Malware avançado do seu site WordPress

O malware da versão mais avançada, por incrível que pareça, seria a versão 1.0.1 anterior a da 1.0.6, mesmo sendo um ataque que insere uma função diretamente em seu site sem permitir ao cracker de fazer novas alterações nesta função, este ataque não deixa uma URL ( simpleoneline.online.js?v=1.0.1 ) de livre exposição.
O cracker não pode alterar a função em seu servidor, mas ele pode fazer as alterações no arquivo em sua versão 1.0.1 que se encontra hospedado no servidor em que ele contratou.

O que mais me chamou a atenção foi a criptografia da criptografia, sim, isso mesmo, o cracker criptografou um código já criptografado. Quando você consegue acessar o arquivo, que não é arquivo, é um tipo de fantasma em seu console, ele não é indicado em nenhum arquivo e o seu carregamento fica ainda mais duvidoso, pois normalmente os arquivos são construídos para o index.

Ao ler o código do cracker, isso é, o código apresentado no Console ou Elements ou Source, você percebe que não se trata de uma minificação, mas sim de um código criptografado, mas como o navegador fez a execução sem a descriptografia? A intenção do cracker era confundir a mente de quem estava lendo o código, fazendo a pessoa perder horas de trabalho procurando o código em banco de dados e ou em até mesmo nos arquivos hospedados no servidor.
A verdade é que o código te mostrado é a descriptografia de uma criptografia, a verdadeira continua desconhecida.

 Encontrando o código criptografado em meu site wordpress

Acesso o painel do banco de dados e faça o seguinte select **SELECT * FROM `wp_options` WHERE `option_value` LIKE ‘%eval(String.fromCharCode%’**. Com isso você vai encontrar todos os locai onde temos o código do cracker.

encontrando o simpleoneline

Faça um backup antes de qualquer alteração, pois seu código é em Json e pode te dar trabalhos para sanar qualquer erro ao ocorrido.

Agora tudo que você precisa fazer é remover o código, começando pela teg de script até o fechamento da mesma, isso é, remover o script que se refere ao código do cracker.

removendo o malware simpleoneline

Como saber se meu site está vulnerável a ataques de cracker

Existem algumas ferramentas para fazer os testes, logico, você não deve levar apenas as ferramentas como um fator decisivo para as suas atitudes de proteção em seu site, ainda mais quando você usa o seu site para vendas ou e-commerce. Falando ainda com WordPress, nós podemos contar com ajuda de algumas ferramentas, como o KaliLinux e ou WPSCAN.

WPSCAN o que é

O WPSCAN é um software de teste de vulnerabilidade em seu site wordpress, a sua função seria procurar as brechas em determinadas versões do WordPress, Themes e Plugins.

O que ele faz é:

  • Análise de vulnerabilidade não intrusiva;
  • Pesquisa e listagem dos nomes de usuários em uso;
  • Simulação de ataque de força bruta (brute force);
  • Verificação de senhas fracas em uso;
  • Análise da versão do WordPress, plugins e temas em uso;
  • Listagem dos plugins em uso;
  • Miscelânea de verificações em instalações WordPress

Kali Linux o que é

O Kali Linux é uma distribuição GNU/Linux baseada no Debian, isso é, um sistema operacional. Considerado o sucessos do Back Track, o Kali tem como objetivo ir além, trazer ferramentas mais avançadas e mais atualizadas.

O que ele tem:

  • Nmap (port scanner), o que seria um software para procurar brecha em portas em seu firewall;
  • Wiresshark (um sniffer) Controle e monitoramento de rede;
  • John the Ripper (gerador de craker de pawword);
  • Aircrack-ng, um software que faz teste de segurança em redes de wifi;
  • Entre outros software poderosos que fazem alguns do trabalhos para você

Saiba mais sobre o Kali Linux clicando aqui.

Como posso proteger o meu site WordPress

A proteção em um site é algo complexo, como pode ver, têm muitas ferramentas que ajudam os cracker a fazerem ataques mais assertivos em site, também, vale lembrar, que a cada dia a tecnologia avança e mais pessoas entrar para setor.
A segurança de um site começa na rede, toda a estrutura de rede, passa para o servidor, softwares e, finalmente, para o seu site.

Uma das ações a ser tomada, seria a atualização constante de sua aplicação, porque, assim, seu site fica livre de falhas de versionamentos.

Algo mais avançado seria os bloqueios de querys de URL usando o arquivo htaccess em seu servidor, além disso, estar sempre monitorando os logs do sistema, e, finalmente, ter uma ferramenta que te avise possíveis ataques e que tome decisões.

Vale lembrar que todas estas técnicas não server apenas para o malware Simpleoneline, todas as regras bem aplicadas teremos como resultado um site mais seguro para os usuários.

Achou complicado? Esperamos que não, para ter como resultado, um site sempre seguro e livre de malware, nós recomendamos que você procure um profissional ou agência para fazer o trabalho para você.

Ficou alguma dúvida? Entre em contato conosco.