Onverklaarbare redirect wordpress na inloggen

dinsdag 15 mei 2018 10:47

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

Ik heb een website van een klant welk een onverklaarbare redirect heeft na inloggen voor zowel users als beheerder(s). De URL is na inloggen niet naar /wp-admin/ maar na:

code:

https://www.een-url.xyz/contact/links/?redirect_to=%2Fcontact%2Flinks%2F%3Fredirect_to%3D%252Fcontact%252Flinks%252F%253Fredirect_to%253D%25252Fcontact%25252Flinks%25252F%25253Fredirect_to%25253D%2525252Fcontact%2525252Flinks%2525252F%2525253Fredirect_to%2525253D%252525252Fcontact%252525252Flinks%252525252F%252525253Fredirect_to%252525253D%25252525252Fcontact%25252525252Flinks%25252525252F%25252525253Fredirect_to%25252525253D%2525252525252Fcontact%2525252525252Flinks%2525252525252F%2525252525253Fredirect_to%2525252525253D%252525252525252Fcontact%252525252525252Flinks%252525252525252F%252525252525253Fredirect_to%252525252525253D%25252525252525252Fcontact%25252525252525252Flinks%25252525252525252F%25252525252525253Fredirect_to%25252525252525253D%2525252525252525252Fcontact%2525252525252525252Flinks%2525252525252525252F%2525252525252525253Fredirect_to%2525252525252525253D%252525252525252525252Fcontact%252525252525252525252Flinks%252525252525252525252F%252525252525252525253Fredirect_to%252525252525252525253D%25252525252525252525252Fcontact%25252525252525252525252Flinks%25252525252525252525252F%25252525252525252525253Fredirect_to%25252525252525252525253D%2525252525252525252525252Fcontact%2525252525252525252525252Flinks%2525252525252525252525252F%2525252525252525252525253Fredirect_to%2525252525252525252525253D%252525252525252525252525252Fcontact%252525252525252525252525252Flinks%252525252525252525252525252F%252525252525252525252525253Fredirect_to%252525252525252525252525253D%25252525252525252525252525252Fcontact%25252525252525252525252525252Flinks%25252525252525252525252525252F%25252525252525252525252525253Fredirect_to%25252525252525252525252525253D%2525252525252525252525252525252Fcontact%2525252525252525252525252525252Flinks%2525252525252525252525252525252F%2525252525252525252525252525253Fredirect_to%2525252525252525252525252525253D%252525252525252525252525252525252Fcontact%252525252525252525252525252525252Flinks%252525252525252525252525252525252F%252525252525252525252525252525253Fredirect_to%252525252525252525252525252525253D%25252525252525252525252525252525252Fcontact%25252525252525252525252525252525252Flinks%25252525252525252525252525252525252F%25252525252525252525252525252525253Fredirect_to%25252525252525252525252525252525253D%2525252525252525252525252525252525252Fcontact%2525252525252525252525252525252525252Flinks%2525252525252525252525252525252525252F

De browser gaat natuurlijk over de zeik want die ziet een loop van redirects gaande. Ik heb de hele website al uitgespit, compleet overschreven met de laatste wordpress, een maldet scan uitgevoerd, handmatig in de database zitten spitten, htaccess uitgelezen, ik kom er gewoon niet uit.

De site lijkt nu dus read only te zijn ofzo, er zit voldoende ruimte op, het kan schrijven, maar inloggen en fatsoenlijk op /wp-admin/ uitkomen is uit den boze. Wat is er gaande dat zo'n redirect naar /contact/links/ wordt gemaakt en niet gewoon /wp-admin/ ?

Het zou heel goed kunnen dat het toch malware is of een mislukte hijack. Maar ik kan de sporen momenteel (nog) niet vinden hiervoor.

vrijdag 18 mei 2018 12:11

Vaenir

Tijd geleden dat ik wordpress aangeraakt heb (gelukkig..

). Maar dit soort taferelen komen vaak omdat er verkeerde waardes in je database staan. Is dit project ooit veranderd van domein of gemoved met iets van een duplicator?

Ik zou eerst eens in je wp_options tabel kijken, maar liever een query waarop je naar de redirect url zoekt binnenin je database.

dinsdag 15 mei 2018 10:55

Acties:

0 Henk 'm!

eric.1

Heb je plugins geinstalleerd?

dinsdag 15 mei 2018 10:55

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

eric.1 schreef op dinsdag 15 mei 2018 @ 10:55:
Heb je plugins geinstalleerd?

Eh ja. Ik kan ze disablen door de map te hernoemen (daardoor raakt de plugin inactief) en net zolang totdat ik het euvel heb gevonden.

Maar ik betwijfel het. Een plugin stelt geen redirect in op deze manier.

Edit: Alle plugins disabled. Zelfde gedrag. Bij inlogscherm krijg ik dit:

code:

1	https://www.blaat.xYz/login/?redirect_to=https%3A%2F%2Fblaat.xYz%2Fwp-admin%2F

Welk me vervolgens na de POST doorstuurt naar de URL in startpost.

Ik had heel de installatie al overschreven met laatste versie wordpress en voor de zekerheid de htacces opnieuw aangemaakt. Geen resultaat.

[ Voor 35% gewijzigd door Anoniem: 58485 op 15-05-2018 10:59 ]

dinsdag 15 mei 2018 11:04

Acties:

0 Henk 'm!

Mr_x007

Als het niet in de wordpress code zit, en ook niet in de .htacces zou ik eens in de database gaan zoeken

dinsdag 15 mei 2018 11:05

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

Mr_x007 schreef op dinsdag 15 mei 2018 @ 11:04:
Als het niet in de wordpress code zit, en ook niet in de .htacces zou ik eens in de database gaan zoeken

En in welke tabel uit de 10.000 rows?

Een wildcard search al gebruikt, ik kan niets vinden momenteel. Net al functions.php gechecked; last modification op 8 januari bij een reguliere update, geen redirect ingesteld.

dinsdag 15 mei 2018 11:10

Acties:

+1 Henk 'm!

mcDavid

grep eens naar "redirect_to" zou ik zeggen.

dinsdag 15 mei 2018 11:12

Acties:

0 Henk 'm!

Mr_x007

Anoniem: 58485 schreef op dinsdag 15 mei 2018 @ 11:05:
[...]

En in welke tabel uit de 10.000 rows?

Een wildcard search al gebruikt, ik kan niets vinden momenteel. Net al functions.php gechecked; last modification op 8 januari bij een reguliere update, geen redirect ingesteld.

Ik zou iets in de wp_options table verwachten, je kan ook eventueel ook een mysqldump maken zodat je makkelijk over alle tables kan greppen.

Is zeker niet makkelijk, maar als de andere makkelijke opties uitgesloten zijn, lijkt het mij een goede om de DB ook uit te sluiten.

Hou er bij je testen ook rekening mee dat browsers redirects ook nog wel eens willen cachen. Heb je nog een backup van voor het probleem? dan kan je vergelijken wat er sinds die tijd gewijzigd is

dinsdag 15 mei 2018 11:14

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

Wordpress is 'soft' , dus een redirect wordt direct voorgeschoteld zonder dat er cache tussen zit. Als er een redirect op staat dan krijg je die dus ook in mijn geval, zonder cookies en troep.

dinsdag 15 mei 2018 11:18

Acties:

0 Henk 'm!

André

Analytics dude

En wat als je in de code zelf een redirect instelt?

https://codex.wordpress.o..._Reference/login_redirect

dinsdag 15 mei 2018 11:19

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

André schreef op dinsdag 15 mei 2018 @ 11:18:
En wat als je in de code zelf een redirect instelt?

https://codex.wordpress.o..._Reference/login_redirect

Omdat ik wordpress (kaal) er volledig opnieuw op had gezet had dat er al uit moeten komen. Functions.php in de theme heeft ook niets, de last modification was voordat dit probleem ontstaan was. Dus daar ligt het niet aan.

dinsdag 15 mei 2018 11:20

Acties:

0 Henk 'm!

André

Analytics dude

Anoniem: 58485 schreef op dinsdag 15 mei 2018 @ 11:19:
[...]

Omdat ik wordpress (kaal) er volledig opnieuw op had gezet had dat er al uit moeten komen. Functions.php in de theme heeft ook niets, de last modification was voordat dit probleem ontstaan was. Dus daar ligt het niet aan.

Ik zeg ook niet dat het daar aan ligt, het zou mogelijk een oplossing kunnen zijn?

dinsdag 15 mei 2018 11:23

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

André schreef op dinsdag 15 mei 2018 @ 11:20:
[...]

Ik zeg ook niet dat het daar aan ligt, het zou mogelijk een oplossing kunnen zijn?

Ik heb de hele site nog eens lokaal gezet, en Trend micro eroverheen laten gaan. Wellicht dat die wat vinden kan wat maldet niet lukt.

Anders zit het echt op databaseniveau. En dan is de vraag in welke tabel en onder welke optie.

Wildcard op /contact/ of /links/ gezet; niks.

dinsdag 15 mei 2018 11:28

Acties:

0 Henk 'm!

thaicecube

- Staan je permalinks wel goed? (htacess of nginx schrijfbaar) ?
- all de wp-config bekeken? Daar kan het ook nog in staan.
- Misschien een 301 redirects plugin? (die zichtzelf niet opschoont na uitschakelen)

Redirects in de database staan hoogst waarschijnlijk onder de _options tabel.

[ Voor 34% gewijzigd door thaicecube op 15-05-2018 11:31 ]

dinsdag 15 mei 2018 13:06

Acties:

0 Henk 'm!

botwood

Ook al gekeken naar SSL? Dan kan je die ook afvinken van je checklist.

En wellicht heb je dit artikel al gevonden hoor:
https://wordpress.stackex...ying-to-login-to-wp-admin

[ Voor 52% gewijzigd door botwood op 15-05-2018 13:08 ]

vrijdag 18 mei 2018 11:38

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

De site lijkt wel gehacked; er staan tientallen al dan niet honderden posts (berichten) in met artikels over producten die helemaal niet bij de website horen. De database is de hoogstwaarschijnlijk de oorzaak, want de files, htacces, alles lijkt verder normaal. Zit ook geen malware of andere PHP obfuscated code tussen.

Als ik in de admin kan komen dan kan ik het probleem zo 1-2-3 oplossen. Maar dat lukt nu dus niet.

Edit: theme is dus vernaggeld. Map hernoemd, en ik kan wel ineens inloggen.

[ Voor 8% gewijzigd door Anoniem: 58485 op 18-05-2018 11:50 ]

vrijdag 18 mei 2018 11:55

Acties:

0 Henk 'm!

thaicecube

Update meteen even je WordPress versie en al je plugins als je dan bezig bent. Achterlopende plugins zijn meestal de reden van dit soort injecties.

vrijdag 18 mei 2018 11:57

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

thaicecube schreef op vrijdag 18 mei 2018 @ 11:55:
Update meteen even je WordPress versie en al je plugins als je dan bezig bent. Achterlopende plugins zijn meestal de reden van dit soort injecties.

Ja, al gedaan.

Nu even een malware scan. Maar ik denk dat de theme gewoon gebricked is; onverklaarbare redirect.

Er zitten ook 4000+ posts in die totaal niks van doen met de website hebben.

vrijdag 18 mei 2018 12:11

Acties:

Beste antwoord ✓
0 Henk 'm!

Vaenir

Tijd geleden dat ik wordpress aangeraakt heb (gelukkig..

). Maar dit soort taferelen komen vaak omdat er verkeerde waardes in je database staan. Is dit project ooit veranderd van domein of gemoved met iets van een duplicator?

Ik zou eerst eens in je wp_options tabel kijken, maar liever een query waarop je naar de redirect url zoekt binnenin je database.

zaterdag 19 mei 2018 15:34

Acties:

0 Henk 'm!

Anoniem: 58485

Topicstarter

Vaenir schreef op vrijdag 18 mei 2018 @ 12:11:
Tijd geleden dat ik wordpress aangeraakt heb (gelukkig.. ). Maar dit soort taferelen komen vaak omdat er verkeerde waardes in je database staan. Is dit project ooit veranderd van domein of gemoved met iets van een duplicator?

Ik zou eerst eens in je wp_options tabel kijken, maar liever een query waarop je naar de redirect url zoekt binnenin je database.

Ik heb het zaakje toen van HTTP naar HTTPS overgezet; maar toen werkte alles gewoon.

Ik heb echt alles uit zitten spitten, had zelfs een oude backup van de theme, ik dacht mischien is dat overschreven met waardes van malware ofzo, tevergeefs.

Als ik de theme uitschakel (gewoon de map hernoem) werkt alles; en zodra ik het activeer begint het gezeur weer. Of de klant heeft iets gedaan / ingesteld wat nu leidt tot een gigantische clusterfuck, of er is iets anders gebeurd c.q aan de hand. Error log is nul. Of dat ding logt niet of er is niks aan de hand.

Maar dezelfde redirect vindt plaats als ik de theme uitgeschakeld heb, en verwijst dus blijkbaar naar /contact/links/ ofzo.

Hoe die permalink erin komt; ik heb geen idee. Uberhaubt niet waarom je na inloggen een gebruiker door wil sturen naar zo'n pagina. Edit: Heb 'm!

Het was een pagina Links dat sticky is gezet bovenop de parent van Login.

Dit veroorzaakte de endless loop. Bedankt klant.

Afbeeldingslocatie: http://i48.tinypic.com/rck9k9.jpg

[ Voor 6% gewijzigd door Anoniem: 58485 op 19-05-2018 15:37 ]

Vraag

Beste antwoord (via Anoniem: 58485 op 19-05-2018 15:37)

Alle reacties