هک شدن سایت و ریدایرکت آن

سلام و احترام،

مشکلی که توصیف کردید نشان‌دهنده یک نفوذ سطح دسترسی (Privilege Escalation) است. اینکه فایل‌های index.php یا index.html در تمامی دایرکتوری‌ها (حتی در پوشه‌هایی که ربطی به آن سه افزونه ندارند) تزریق شده‌اند، یعنی مکانیزم نفوذ فراتر از چند افزونه مخرب بوده و احتمالاً یک Backdoor (درب پشتی) در هسته وردپرس یا پوشه آپلودها جاگذاری شده است.

دلیل اینکه با حذف افزونه‌ها و نصب Wordfence مشکل حل نشده، این است که بدافزار (Malware) اکنون در جایی خارج از پوشه پلاگین‌ها (مثلاً در wp-includes یا wp-content/uploads) ساکن شده و از طریق Cron Jobs یا تریگرهای خارجی، مجدداً خود را بازسازی می‌کند.

برای رفع این مشکل، «پاکسازی» فایده‌ای ندارد؛ شما باید سایت را «جراحی» کنید. لطفاً مراحل زیر را دقیقاً به همین ترتیب انجام دهید:۱. ایزوله‌سازی و فول‌بکاپ (Full Backup)

قبل از هر کاری، از وضعیت فعلی (حتی با وجود ویروس) بکاپ بگیرید تا اگر در حین پاکسازی دیتابیس آسیبی دید، راه بازگشت داشته باشید.۲. تعویض هسته وردپرس (Core Replacement) – حیاتی

فایل‌های آلوده اغلب خود را شبیه فایل‌های اصلی وردپرس جا می‌زنند.

• تمامی پوشه‌ها و فایل‌های موجود در روت (Root) هاست را حذف کنید، به جز: پوشه wp-content و فایل wp-config.php.
• پوشه‌های wp-admin و wp-includes باید کاملاً حذف و مجدداً از مخزن رسمی وردپرس آپلود شوند. (تأکید می‌کنم: Replace نکنید، اول Delete و بعد Upload کنید).

۳. پاکسازی پوشه wp-content (کانون عفونت)

این بخش سخت‌ترین مرحله است:

• پلاگین‌ها و قالب‌ها: تمام پوشه‌های داخل plugins و themes را حذف کنید و نسخه‌های اورجینال را مجدداً از مخزن یا فروشنده دانلود و نصب کنید. (به هیچ وجه از نسخه فعلی استفاده نکنید).
• پوشه Uploads: وارد این پوشه شوید. بدافزارها فایل‌های مخرب PHP را در بین تصاویر مخفی می‌کنند. در نوار جستجوی فایل‌منیجر هاست، عبارت php. را در پوشه uploads جستجو کنید و هر فایل PHP که پیدا کردید را حذف کنید (این پوشه فقط باید حاوی عکس و مدیا باشد).

۴. حذف فایل‌های Index تزریقی (راهکار فنی)

برای حذف صدها فایل index.html یا index.php مزاحم که در همه پوشه‌ها کپی شده‌اند، پاکسازی دستی غیرممکن است. اگر به SSH (ترمینال) دسترسی دارید، از دستورات زیر استفاده کنید (با احتیاط):
find . -name “index.html” -type f -delete
اگر دسترسی SSH ندارید، باید از طریق فایل منیجر و با مرتب‌سازی بر اساس “تاریخ تغییر” (Date Modified) فایل‌هایی که در تاریخ هک ایجاد شده‌اند را گروهی حذف کنید.

۵. پاکسازی دیتابیس (Salts)

• وارد دیتابیس (phpMyAdmin) شوید و جدول wp_options را چک کنید. مقادیر siteurl و home را بررسی کنید که به سایت خارجی تغییر نکرده باشند.
• فایل wp-config.php را باز کنید و کدهای Authentication Unique Keys and Salts را تغییر دهید. این کار باعث می‌شود تمام سشن‌های هکرها اکسپایر شود.

۶. بررسی فایل .htaccess

اغلب ریدایرکت‌ها در این فایل کدگذاری می‌شوند. فایل .htaccess فعلی را حذف کنید و با ذخیره مجدد پیوندهای یکتا در پیشخوان وردپرس، یک فایل جدید بسازید.

نکته مهم و نهایی : تا زمانی که این پاکسازی کامل انجام نشود، نصب افزونه‌های امنیتی مثل Wordfence کمکی نمی‌کند، زیرا آن‌ها معمولاً نمی‌توانند فایل‌هایی که دسترسی سیستمی پیدا کرده‌اند را پاک کنند.

(اگر اطلاعات و مهارت کافی ندارید و سایت شما فعال و مهم هست و یک سایت تمرینی نیست حتما از یک متخصص کمک بگیرید )

سلام مجدد سعید عزیز، خوشحالم که مراحل قبلی را با دقت انجام دادید. با توجه به توضیحات دقیق شما و اینکه مشکل دقیقاً بعد از نیم ساعت بازمی‌گردد، کاملاً مشخص است که با یک سناریوی آلودگی متقاطع (Cross-Site Contamination) و احتمالاً یک پروسه فعال در حافظه (RAM) سرور مواجه هستید.

دلیل این اتفاق این است که بدافزار فقط یک فایل فیزیکی خوابیده روی هاست نیست، بلکه یک دستور در حال اجراست. برای قطع این چرخه باطل، لطفاً این موارد را به صورت دقیق و همزمان بررسی کنید:

۱. قانون طلایی: پاکسازی همزمان تمام ادان دامین‌ها در هاست‌های اشتراکی، تمام سایت‌ها زیرمجموعه یک یوزر (User) هستند و به فایل‌های یکدیگر دسترسی دارند. اگر سایت اول را کاملاً پاک کنید اما سایت دوم (یا حتی یک فولدر ساده HTML) هنوز آلوده باشد، بدافزارِ سایت دوم بلافاصله سایت اول را دوباره آلوده می‌کند. باید هر سه سایت و تمام فولدرهای متفرقه را همزمان متوقف و پاکسازی کنید. پاکسازی نوبتی در این سناریو به هیچ وجه جواب نمی‌دهد.

۲. متوقف کردن پروسه‌های فعال در حافظه (Kill Processes) حتی اگر تمام فایل‌های ویروس را پاک کنید، اسکریپت آن ممکن است همچنان در رم سرور در حال اجرا باشد (به صورت Daemon).

• راهکار سریع: در پنل هاست (cPanel یا DirectAdmin) به بخش Select PHP Version بروید. نسخه PHP را یک لول تغییر دهید (مثلاً از 7.4 به 8.0) و ذخیره کنید، سپس دوباره به حالت قبل برگردانید. این کار باعث ری‌استارت شدن پروسه‌های PHP اکانت شما و از بین رفتن بدافزار مقیم در حافظه می‌شود.

۳. بررسی دستورات مخفی در htaccess. گاهی هکرها فایل اجرایی اصلی (Dropper) را در یک مسیر کاملاً نامربوط مخفی می‌کنند و با یک دستور در فایل .htaccess روت اصلی (public_html)، به سرور می‌گویند آن را اجرا کند.

• فایل .htaccess را در تمام مسیرها بررسی کنید و به دنبال دستوری شبیه به php_value auto_prepend_file بگردید. این دستور باعث می‌شود ویروس قبل از لود شدن هسته وردپرس، اجرا و تکثیر شود.

۴. بررسی کران‌جاب‌های داخلی وردپرس (WP-Cron) شما کران‌جاب‌های هاست را چک کردید که کار بسیار درستی بود، اما بدافزارها معمولاً در سیستم زمان‌بندی داخلی خود وردپرس مخفی می‌شوند.

• در دیتابیس (phpMyAdmin)، جدول wp_options را باز کنید و در ستون option_name کلمه cron را جستجو کنید. بررسی کنید که آیا تسک مشکوک و ناآشنایی در مقادیر آن (option_value) وجود دارد یا خیر. پس از پایداری اولیه سایت، می‌توانید از افزونه WP Crontrol هم برای بررسی راحت‌تر این تسک‌های مخفی استفاده کنید.

۵. بررسی پوشه‌های بالاتر از روت (Root) دقت کنید که فایل مولد ویروس ممکن است اصلاً داخل پوشه‌های سایت‌ها نباشد. پوشه‌هایی مثل cgi-bin، سطل زباله (.trash) و حتی پوشه /tmp در مسیر اصلی هاست (یک مرحله قبل از public_html) را به دقت بررسی کنید.

این مرحله از پاکسازی به دلیل وجود ادان دامین‌ها نیاز به دقت و سرعت عمل همزمان دارد. امیدوارم با این تکنیک‌ها گره کار باز شود. نتیجه را اطلاع دهید. موفق باشید!