Взломали Magento даже после наложенного патча

16

За несколько дней до того, как мой сайт Magento Community Edition 1.8.1 был взломан, потому что мы опоздали с установкой патча . мы обнаружили, что некоторые файлы были изменены те,

  1. index.php [хакеры добавили в него код].
  2. get.php
  3. JS / index.php
  4. JS / Библиотека / ccard.js
  5. Библиотека / Varien / autoload.php

И они также установили модуль под названием файловая система Magpleasure

Но после применения патча и удаления всего того, что добавили хакеры в наше приложение, проблема не решается.

хакеры со временем меняют 3 файла

  1. get.php
  2. JS / index.php
  3. JS / Библиотека / ccard.js

Есть ли что-то, чего нам не хватает?

Как предотвратить их, атакуя наши файлы?

Патч работает или нет? Как мне это проверить?

Чарли
источник
Сначала проверьте, не существует ли уязвимость на стороне хостинга (я не знаю, как это сделать). Может быть, вас взломали с помощью других средств, кроме Magento.
Мариус
Да, мы проверили это, попросив команду хостинга. они сообщили только, что у нас есть разрешение ssh, мы также изменили все пароли. но бесполезно.
Чарли
1
Есть ли другие приложения в этом же домене? Нравится WordPress или что-то? Может быть, они также были скомпрометированы, или они проникли через эти приложения?
7очев
@ 7очем, нет, других приложений нет
Чарли
1
Предложения Анны точны, и вы, похоже, определили несколько наиболее распространенных измененных файлов. Мы документировали все те, которые были обнаружены в наших усилиях по исправлению, на github.com/comitdevelopers/magento-security-toolkit - пожалуйста, рассмотрите возможность добавления своих с трудом завоеванных знаний в проект, разветвив и отправив запрос на извлечение.
Брайан 'BJ' Хоффпауир-младший,

Ответы:

16

Похоже, что в какой-то момент ваши настройки Magento все еще находятся под угрозой, поэтому вам следует тщательно проверить настройки веб-сервера Magento +.

Вы не можете доверять вашей установке, если она была скомпрометирована. Окончательный путь - новая и чистая настройка всех файлов на новом хосте с последней резервной копией до того, как вы совершите покупку.

Если это невозможно по разным причинам, вы можете проверить / выполнить следующие действия, связанные с этой проблемой:

Удалить все обнаруженные измененные / взломанные файлы плюс установленные расширения

Еще лучше: сделайте чистую проверку (git) из вашей системы разработки с самой последней версией. Это будет самым безопасным, если ваша система разработки и промежуточного уровня также не была скомпрометирована (а это не так, если вы разрабатываете локально или в защищенной среде).

Удалить созданные внутренние учетные записи администратора

Специально для SUPEE-5344 в бэкэнде также будет создана учетная запись администратора. Удалите все новые / ненужные учетные записи администратора.

Запасной план

В зависимости от плана и стратегии резервного копирования вы можете подумать об откате всей базы данных.

Проверьте права доступа к файлам / папкам

Вы проверили свои права доступа к файлам / папкам? Там нет необходимости запускать все с 777 или как пользователь root. В зависимости от конфигурации вашего сервера может быть достаточно 400/500. Смотрите документацию здесь.

Проверьте логи сервера

Проверьте доступ к веб-серверам / журнал ошибок, чтобы отслеживать посещенные сайты и подозрительные URL-адреса. Возможно, вы найдете подозрительные IP-адреса для блокировки на уровне брандмауэра.

Анна Фёлькл
источник
1

Это довольно обычно, я думаю. Патчи появляются после того, как служба безопасности Magento обнаруживает уязвимость или кто-то сообщает им об этом. Но до тех пор магазины Magento остаются детской площадкой для хакеров.

Несколько файлов для проверки, которые тоже могли быть изменены:

  1. Приложение / код / ​​ядро ​​/ Mage / XmlConnect / Block / Checkout / Оплата / Метод / Ccsave.php

  2. приложение / код / ​​ядро ​​/ Mage / Клиент / контроллеры / AccountController.php

  3. Приложение / код / ​​ядро ​​/ Mage / Оплата / Модель / Метод / Cc.php

  4. Приложение / код / ​​ядро ​​/ Mage / Checkout / Модель / тип / Onepage.php

Кроме того, следующая команда полезна для поиска вредоносных программ / бэкдоров / оболочек, когда вы используете SSH на своем сервере:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Я взял вышеупомянутую информацию из https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Может быть полезно проверить напрямую.

Шон
источник