We found many WordPress websites redirecting to malicious URLs and spam domains. After a deep investigation it turned out to be caused by the vulnerable WordPress OneTone theme.
The hack usually takes place in this file: ./wp-content/themes/onetone/includes/theme-functions.php
Beside the above file infection, The Hacker also inject a “eval(atob” malicious javascript malware in WordPress database onetone value within the wp_options table which is responsible for redirecting the website to other suspicious domains such as ischeck[.]xyz
As you can notice, The Rank Math SEO is causing a redirect to the malicious domain ischeck which is then redirect to checkandgo and overzoruaon spam domains. Some of the malware domains involved with this specific hack incident:
Recently, We noticed so many infected websites redirecting to malicious URLs and spam domains. After a deep investigation it turned out to be caused by the vulnerable Rank Math SEO WordPress Plugin.
The vulnerable version is 1.0.40.2 so make sure you get it updated to last released version that have this vulnerability patched.
Here is a quick snippet showing the live infection in action as found on an infected website:
HTTP/1.1 301 Moved Permanently Content-Type: text/html; charset=UTF-8 Connection: keep-alive Keep-Alive: timeout=15 Date: Mon, 28 Mar 2020 13:51:16 GMT Server: Apache X-Powered-By: PHP/7.3.16 X-Redirect-By: Rank Math SEO Location: https://ischeck[.]xyz
As you can notice, The Rank Math SEO is causing a redirect to the malicious domain ischeck which is then redirect to checkandgo and overzoruaon spam domains. Some of the malware domains involved with this specific hack incident:
You can signup and Try our Website Security Monitoring, Website Firewall Protection, Malware detection and Blacklists Monitoring Services for 30 days – Completely FREE Trial! No obligations, No contract, No credit card required!
Any versions below 2.1.7 is vulnerable to this security issue and websites using older versions are likely hacked.
Hackers are exploiting it and injecting their malicious javascripts into files and database mainly in the dpc_basic_metadata rows under the wp_options table.
The injected JavaScript code is loading the following remote JS files:
https://adsnet[.]work/scripts/place.js
https://media-sapiens[.]com/pu-placer.js
to cause redirects to other malicious websites such as:
We are proud to announce that we provide free website security Plan for charities. We offer our Silver plan for FREE for approved charities. Please contact [email protected] for more details.
Any versions below 8.0.27 is vulnerable to this security issue and websites using older versions are likely hacked.
Hackers are exploiting it and injecting their malicious javascripts into files and database mainly in the “siteurl” and “home” rows in your wp_options table to cause redirects to other malicious websites such as:
Reparación de WordPress Hack y pasos de eliminación de malware:
1- El paso más importante es mantener la calma y la concentración. El estrés es contraproducente. Respira hondo y sigue leyendo.
2- Es muy importante generar un sitio web completo y una copia de seguridad de la base de datos.
3- Obtenga una copia nueva de WordPress en
https://wordpress.org/download/ y comience por reemplazar sus carpetas
principales de WordPress, tales como:
/ wp-admin
/ wp-incluye
La mayoría de las infecciones de malware de WordPress están dirigidas a los archivos y carpetas principales.
Si el problema de malware / piratería persiste, debe revisar e
investigar su carpeta wp-content y todos los temas y complementos que
usa en el sitio web. Si continúa, entonces también debes verificar tu base de datos. También puede necesitar revisar su index.php, Archivo wp-config.php y .htaccess y otros archivos comunes para cualquier malware insertado e inyectado.
compare sus archivos en vivo actuales con la copia nueva que acaba de
descargar usando el comando diff Linux o las herramientas de comparación
de archivos como DiffNow o herramientas similares. Verifique todos los archivos reportados e infectados y límpielos o reemplácelos con una copia limpia.
4- Actualizar y actualizar WordPress, temas. y plugins una vez que limpies y elimines el malware / hack. Elimina los temas o complementos que no uses.
5- Revise a los usuarios administradores para detectar cualquier usuario administrador falso oculto creado por los hackers. Asegúrate de cambiar todas tus contraseñas.
6- Revise sus complementos y asegúrese de reconocerlos, los
complementos falsos instalados y colocados por hackers son muy comunes. Elimina los complementos que no uses.
7- Una vez que haya terminado de limpiar su sitio web, es el momento de
hacer una copia de seguridad completa del sitio web, incluida la copia
de seguridad de la base de datos.
8- Escanee su computadora usando un buen software antivirus.
9- Verifique si su sitio web está en la lista negra de los motores de
búsqueda o los proveedores de listas negras / antivirus (Google, Bing,
Norton, McAfee, Yandex, etc.) y envíe las solicitudes de reconsideración
y reindexación siempre que sea necesario para asegurarse de que su SEO y
clasificación no se vean afectados. Por el hack.
10- Manténgase actualizado y actualizado, mantenga su wordPress,
complementos, temas y todo actualizado y cambie sus contraseñas con
frecuencia.
Regístreseahora y vamos a limpiar y proteger sus sitios web!