Взломали Magento даже после наложенного патча

За несколько дней до того, как мой сайт Magento Community Edition 1.8.1 был взломан, потому что мы опоздали с установкой патча . мы обнаружили, что некоторые файлы были изменены те,

1. index.php [хакеры добавили в него код].
2. get.php
3. JS / index.php
4. JS / Библиотека / ccard.js
5. Библиотека / Varien / autoload.php

И они также установили модуль под названием файловая система Magpleasure

Но после применения патча и удаления всего того, что добавили хакеры в наше приложение, проблема не решается.

хакеры со временем меняют 3 файла

1. get.php
2. JS / index.php
3. JS / Библиотека / ccard.js

Есть ли что-то, чего нам не хватает?

Как предотвратить их, атакуя наши файлы?

Патч работает или нет? Как мне это проверить?

Похоже, что в какой-то момент ваши настройки Magento все еще находятся под угрозой, поэтому вам следует тщательно проверить настройки веб-сервера Magento +.

Вы не можете доверять вашей установке, если она была скомпрометирована. Окончательный путь - новая и чистая настройка всех файлов на новом хосте с последней резервной копией до того, как вы совершите покупку.

Если это невозможно по разным причинам, вы можете проверить / выполнить следующие действия, связанные с этой проблемой:

Удалить все обнаруженные измененные / взломанные файлы плюс установленные расширения

Еще лучше: сделайте чистую проверку (git) из вашей системы разработки с самой последней версией. Это будет самым безопасным, если ваша система разработки и промежуточного уровня также не была скомпрометирована (а это не так, если вы разрабатываете локально или в защищенной среде).

Удалить созданные внутренние учетные записи администратора

Специально для SUPEE-5344 в бэкэнде также будет создана учетная запись администратора. Удалите все новые / ненужные учетные записи администратора.

Запасной план

В зависимости от плана и стратегии резервного копирования вы можете подумать об откате всей базы данных.

Проверьте права доступа к файлам / папкам

Вы проверили свои права доступа к файлам / папкам? Там нет необходимости запускать все с 777 или как пользователь root. В зависимости от конфигурации вашего сервера может быть достаточно 400/500. Смотрите документацию здесь.

Проверьте логи сервера

Проверьте доступ к веб-серверам / журнал ошибок, чтобы отслеживать посещенные сайты и подозрительные URL-адреса. Возможно, вы найдете подозрительные IP-адреса для блокировки на уровне брандмауэра.

Это довольно обычно, я думаю. Патчи появляются после того, как служба безопасности Magento обнаруживает уязвимость или кто-то сообщает им об этом. Но до тех пор магазины Magento остаются детской площадкой для хакеров.

Несколько файлов для проверки, которые тоже могли быть изменены:

1. Приложение / код / ​​ядро ​​/ Mage / XmlConnect / Block / Checkout / Оплата / Метод / Ccsave.php

2. приложение / код / ​​ядро ​​/ Mage / Клиент / контроллеры / AccountController.php

3. Приложение / код / ​​ядро ​​/ Mage / Оплата / Модель / Метод / Cc.php

4. Приложение / код / ​​ядро ​​/ Mage / Checkout / Модель / тип / Onepage.php

Кроме того, следующая команда полезна для поиска вредоносных программ / бэкдоров / оболочек, когда вы используете SSH на своем сервере:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Я взял вышеупомянутую информацию из https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Может быть полезно проверить напрямую.