За несколько дней до того, как мой сайт Magento Community Edition 1.8.1 был взломан, потому что мы опоздали с установкой патча . мы обнаружили, что некоторые файлы были изменены те,
- index.php [хакеры добавили в него код].
- get.php
- JS / index.php
- JS / Библиотека / ccard.js
- Библиотека / Varien / autoload.php
И они также установили модуль под названием файловая система Magpleasure
Но после применения патча и удаления всего того, что добавили хакеры в наше приложение, проблема не решается.
хакеры со временем меняют 3 файла
- get.php
- JS / index.php
- JS / Библиотека / ccard.js
Есть ли что-то, чего нам не хватает?
Как предотвратить их, атакуя наши файлы?
Патч работает или нет? Как мне это проверить?
magento-1.8
patches
security
Чарли
источник
источник
Ответы:
Похоже, что в какой-то момент ваши настройки Magento все еще находятся под угрозой, поэтому вам следует тщательно проверить настройки веб-сервера Magento +.
Вы не можете доверять вашей установке, если она была скомпрометирована. Окончательный путь - новая и чистая настройка всех файлов на новом хосте с последней резервной копией до того, как вы совершите покупку.
Если это невозможно по разным причинам, вы можете проверить / выполнить следующие действия, связанные с этой проблемой:
Удалить все обнаруженные измененные / взломанные файлы плюс установленные расширения
Еще лучше: сделайте чистую проверку (git) из вашей системы разработки с самой последней версией. Это будет самым безопасным, если ваша система разработки и промежуточного уровня также не была скомпрометирована (а это не так, если вы разрабатываете локально или в защищенной среде).
Удалить созданные внутренние учетные записи администратора
Специально для SUPEE-5344 в бэкэнде также будет создана учетная запись администратора. Удалите все новые / ненужные учетные записи администратора.
Запасной план
В зависимости от плана и стратегии резервного копирования вы можете подумать об откате всей базы данных.
Проверьте права доступа к файлам / папкам
Вы проверили свои права доступа к файлам / папкам? Там нет необходимости запускать все с 777 или как пользователь root. В зависимости от конфигурации вашего сервера может быть достаточно 400/500. Смотрите документацию здесь.
Проверьте логи сервера
Проверьте доступ к веб-серверам / журнал ошибок, чтобы отслеживать посещенные сайты и подозрительные URL-адреса. Возможно, вы найдете подозрительные IP-адреса для блокировки на уровне брандмауэра.
источник
Это довольно обычно, я думаю. Патчи появляются после того, как служба безопасности Magento обнаруживает уязвимость или кто-то сообщает им об этом. Но до тех пор магазины Magento остаются детской площадкой для хакеров.
Несколько файлов для проверки, которые тоже могли быть изменены:
Приложение / код / ядро / Mage / XmlConnect / Block / Checkout / Оплата / Метод / Ccsave.php
приложение / код / ядро / Mage / Клиент / контроллеры / AccountController.php
Приложение / код / ядро / Mage / Оплата / Модель / Метод / Cc.php
Приложение / код / ядро / Mage / Checkout / Модель / тип / Onepage.php
Кроме того, следующая команда полезна для поиска вредоносных программ / бэкдоров / оболочек, когда вы используете SSH на своем сервере:
Я взял вышеупомянутую информацию из https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/
Может быть полезно проверить напрямую.
источник