Magento zhakował nawet po nałożeniu łaty

16

Kilka dni przed zhakowaniem mojej witryny Magento Community Edition 1.8.1, ponieważ spóźniliśmy się z wprowadzeniem łatki . okazało się, że niektóre pliki zostały zmienione

  1. index.php [hakerzy dodali do niego trochę kodu].
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / Autoload.php

Zainstalowali także moduł o nazwie system plików Magpleasure

Ale po zastosowaniu łatki i usunięciu wszystkich rzeczy, które hakerzy dodali do naszego problemu z aplikacją, nie jest rozwiązany.

hakerzy ostatecznie zmieniają 3 pliki

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

Czy czegoś nam brakuje?

Jak temu zapobiec, atakując nasze pliki?

Czy łatka działa czy nie? Jak mam to sprawdzić?

magento-1.8 patches security Charlie
źródło
najpierw sprawdź, czy luka nie występuje po stronie hostingu (nie wiem, jak to zrobić). Może zostałeś zhakowany za pomocą innych środków niż Magento.
Marius
Tak, sprawdziliśmy to, pytając zespół prowadzący. poinformowali tylko, że mamy na to pozwolenie ssh, zmieniliśmy też całe hasło. ale bezużyteczne.
Charlie
1
Czy są jakieś inne aplikacje w tej samej domenie? Jak WordPress czy coś takiego? Może były one również zagrożone lub dostały się przez te aplikacje?
7ochem
@ 7ochem, Nie, nie ma innych aplikacji
Charlie
1
Sugestie Anny są trafne i wydaje się, że zidentyfikowałeś kilka najczęściej modyfikowanych plików. Udokumentowaliśmy wszystkie te, które odkryliśmy podczas naszych działań naprawczych na github.com/comitdevelopers/magento-security-toolkit - prosimy o dodanie do projektu własnej ciężko zdobytej wiedzy poprzez rozwidlenie i przesłanie prośby o wycofanie.
Bryan „BJ” Hoffpauir Jr.

Odpowiedzi:

16

Wygląda na to, że w pewnym momencie Twoja konfiguracja Magento jest nadal zagrożona, więc powinieneś dokładnie sprawdzić ustawienia Magento + Webserver.

Nie można ufać instalacji, jeśli została ona naruszona. Ostatecznym rozwiązaniem będzie nowa i czysta konfiguracja wszystkich plików na nowym hoście z najnowszą kopią zapasową przed dokonaniem zakupu.

Jeśli nie jest to możliwe z różnych powodów, możesz sprawdzić / wykonać następujące czynności związane z tym problemem:

Usuń wszystkie wykryte zmienione / zhakowane pliki oraz zainstalowane rozszerzenia

Jeszcze lepiej: wykonaj czystą (git) kasa z systemu programistycznego z najnowszą wersją. Będzie to najbezpieczniejsze, chyba że twój system deweloperski / pomostowy również nie został naruszony (co nie ma miejsca, jeśli tworzysz lokalnie lub w chronionym środowisku).

Usuń utworzone konta administracyjne zaplecza

Zwłaszcza dla SUPEE-5344 w backendie zostanie utworzone konto administratora. Usuń wszystkie nowe / niepotrzebne konta administratora.

Plan zastępczy

W zależności od planu tworzenia kopii zapasowych i strategii możesz pomyśleć o przywróceniu pełnej bazy danych.

Sprawdź uprawnienia do plików / folderów

Czy sprawdziłeś swoje uprawnienia do plików / folderów? Nie ma potrzeby uruchamiania wszystkiego z 777 lub jako użytkownik root. W zależności od konfiguracji serwera może wystarczyć 400/500. Zobacz dokumentację tutaj.

Sprawdź dzienniki serwera

Sprawdź dziennik dostępu / błędów serwera WWW, aby prześledzić odwiedzane witryny i podejrzane adresy URL. Być może znajdziesz podejrzane adresy IP do zablokowania na poziomie zapory ogniowej.

Anna Völkl
źródło
1

Myślę, że to dość zwyczajne. Łaty pojawiają się po tym, jak zespół bezpieczeństwa Magento odkryje lukę lub ktoś jej to zgłosi. Ale do tego czasu sklepy Magento pozostają placem hakerów.

Kilka plików do sprawdzenia, które również mogły zostać zmodyfikowane:

  1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

  2. app / code / core / Mage / Customer / kontrolers / AccountController.php

  3. app / code / core / Mage / Payment / Model / Method / Cc.php

  4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

Ponadto po znalezieniu SSH na serwerze przydatne jest znalezienie następującego złośliwego oprogramowania / backdoora / powłoki:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Wziąłem powyższe informacje z https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Przydatne może być sprawdzenie bezpośrednio.

Shawn
źródło