Magento zhakował nawet po nałożeniu łaty

Kilka dni przed zhakowaniem mojej witryny Magento Community Edition 1.8.1, ponieważ spóźniliśmy się z wprowadzeniem łatki . okazało się, że niektóre pliki zostały zmienione

1. index.php [hakerzy dodali do niego trochę kodu].
2. get.php
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / Autoload.php

Zainstalowali także moduł o nazwie system plików Magpleasure

Ale po zastosowaniu łatki i usunięciu wszystkich rzeczy, które hakerzy dodali do naszego problemu z aplikacją, nie jest rozwiązany.

hakerzy ostatecznie zmieniają 3 pliki

1. get.php
2. js / index.php
3. js / lib / ccard.js

Czy czegoś nam brakuje?

Jak temu zapobiec, atakując nasze pliki?

Czy łatka działa czy nie? Jak mam to sprawdzić?

Wygląda na to, że w pewnym momencie Twoja konfiguracja Magento jest nadal zagrożona, więc powinieneś dokładnie sprawdzić ustawienia Magento + Webserver.

Nie można ufać instalacji, jeśli została ona naruszona. Ostatecznym rozwiązaniem będzie nowa i czysta konfiguracja wszystkich plików na nowym hoście z najnowszą kopią zapasową przed dokonaniem zakupu.

Jeśli nie jest to możliwe z różnych powodów, możesz sprawdzić / wykonać następujące czynności związane z tym problemem:

Usuń wszystkie wykryte zmienione / zhakowane pliki oraz zainstalowane rozszerzenia

Jeszcze lepiej: wykonaj czystą (git) kasa z systemu programistycznego z najnowszą wersją. Będzie to najbezpieczniejsze, chyba że twój system deweloperski / pomostowy również nie został naruszony (co nie ma miejsca, jeśli tworzysz lokalnie lub w chronionym środowisku).

Usuń utworzone konta administracyjne zaplecza

Zwłaszcza dla SUPEE-5344 w backendie zostanie utworzone konto administratora. Usuń wszystkie nowe / niepotrzebne konta administratora.

Plan zastępczy

W zależności od planu tworzenia kopii zapasowych i strategii możesz pomyśleć o przywróceniu pełnej bazy danych.

Sprawdź uprawnienia do plików / folderów

Czy sprawdziłeś swoje uprawnienia do plików / folderów? Nie ma potrzeby uruchamiania wszystkiego z 777 lub jako użytkownik root. W zależności od konfiguracji serwera może wystarczyć 400/500. Zobacz dokumentację tutaj.

Sprawdź dzienniki serwera

Sprawdź dziennik dostępu / błędów serwera WWW, aby prześledzić odwiedzane witryny i podejrzane adresy URL. Być może znajdziesz podejrzane adresy IP do zablokowania na poziomie zapory ogniowej.

Myślę, że to dość zwyczajne. Łaty pojawiają się po tym, jak zespół bezpieczeństwa Magento odkryje lukę lub ktoś jej to zgłosi. Ale do tego czasu sklepy Magento pozostają placem hakerów.

Kilka plików do sprawdzenia, które również mogły zostać zmodyfikowane:

1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

2. app / code / core / Mage / Customer / kontrolers / AccountController.php

3. app / code / core / Mage / Payment / Model / Method / Cc.php

4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

Ponadto po znalezieniu SSH na serwerze przydatne jest znalezienie następującego złośliwego oprogramowania / backdoora / powłoki:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Wziąłem powyższe informacje z https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Przydatne może być sprawdzenie bezpośrednio.