Magento взломал 302 редирект от Google

У меня есть интернет-магазин Magento, который из поисковых систем перенаправляет на спам/неправильный сайт.

Исходная ссылка http://example.com ведет на http://www.example2.com/, но только из поисковых систем.

Если вводить ссылку прямо в браузере, то она корректно ведет на сайт.

Так что похоже, что он взломан, и это может быть файл htaccess, но в нем вообще нет ничего подозрительного.

Тогда возникает вопрос, где и как мне найти место возможного перенаправления? Представьте, что это может быть вставлен какой-то php-код? Как мне легко найти спам-код, выполняющий эту переадресацию?

В index.php тоже ничего нет.


php redirect .htaccess magento malware
person Troels Johannesen    schedule 08.04.2015    source источник
comment
У вас есть доступ к оболочке? Если да, попробуйте сделать grep -HRi "amawatches" /path/to/your/home/directory. Однако обнаружение того, какие файлы были взломаны, не решит проблему. Вам нужно изменить свой пароль и посмотреть, есть ли какие-либо другие уязвимости, которые позволяют хакерам проникнуть и заткнуть дыры, иначе они просто сделают это снова.   -  person Mike    schedule 08.04.2015
comment
У меня нет доступа к оболочке, к сожалению. Есть ли другой способ ?   -  person Troels Johannesen    schedule 08.04.2015
comment
Смотрите мой отредактированный комментарий. Если у вас нет доступа к оболочке, вы можете загрузить все файлы на свой локальный компьютер и выполнить поиск файлов, содержащих этот текст.   -  person Mike    schedule 08.04.2015
comment
Кроме того, учитывая, что вы используете eval (facepalm), это также может быть код, хранящийся где-то в вашей базе данных.   -  person Mike    schedule 08.04.2015
comment
С другой стороны, я смог загрузить ваш сайт с помощью curl, и это была первая строка, на которую я посмотрел: <script src="https ://github.com/aFarkas/html5shiv/blob/master/dist/html5shiv.js"></script>. Вероятно, вам следует исправить это, удалив пробел.   -  person Mike    schedule 08.04.2015
comment
@Mike большое спасибо, все сработало и исправила ошибку, которую вы также заметили. Спасибо.   -  person Troels Johannesen    schedule 09.04.2015
comment
Так что именно произошло?   -  person Mike    schedule 09.04.2015
comment
Именно в методе eval указан hellcode в config.php.   -  person Troels Johannesen    schedule 09.04.2015
comment
Еще одна причина не использовать eval()   -  person Mike    schedule 09.04.2015
comment
hellcode Да, это наш маленький приятель eval(), многие из php-скрипторов, использующих его, обнаруживают, что он может быть крайне вредоносным, если передается неправильный пользовательский контент или контент, которым можно манипулировать. порча!   -  person Fiasco Labs    schedule 10.04.2015

Ответы (1)


arrow_upward
1
arrow_downward

Если вы запросите свой сайт без пользовательского агента, вы получите:

<br />
<b>Notice</b>:  Undefined index: HTTP_USER_AGENT in <b>/var/www/coolslips.dk/public_html/includes/config.php(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(2) : eval()'d code</b> on line <b>3</b><br />
<br />
<b>Notice</b>:  Undefined index: HTTP_USER_AGENT in <b>/var/www/coolslips.dk/public_html/includes/config.php(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(2) : eval()'d code</b> on line <b>4</b><br />
<br />
<b>Notice</b>:  Undefined index: HTTP_USER_AGENT in <b>/var/www/coolslips.dk/public_html/includes/config.php(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(2) : eval()'d code</b> on line <b>5</b><br />
<br />
<b>Notice</b>:  Undefined index: HTTP_USER_AGENT in <b>/var/www/coolslips.dk/public_html/includes/config.php(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(2) : eval()'d code</b> on line <b>6</b><br />
<script type="text/javascript">window.location.href = 'http://coolslips.dk/errors/report.php?id=1151386284028&skin=default';</script>

Итак, взгляните на /var/www/coolslips.dk/public_html/includes/config.php.

И загляните в папку /news. Кажется, есть несколько html-файлов (например, /news/A-Lange.html)

person hellcode    schedule 08.04.2015
comment
Изучаю сейчас, большое спасибо. Сообщит, когда заработает. - person Troels Johannesen; 08.04.2015