Site magento hackeado 1.9.2.4

7

Temos um site Magento hackeado que está na atualização 1.9.2.4.

Os arquivos invadidos são:

  • api.php
  • indexs.php: hackscript
  • postfix.php: hackscript
  • skin/adminhtml/default/default/filesystem/css/loader.php
  • js/editarea/plugins/charmap/jscripts/ajax.php

O hacker usou nosso servidor para devolver sites de e-mail do Gmail para encontrar endereços de e-mail existentes. No anexo do correio, ele usou outro site Magento invadido para hospedar outros arquivos.

mailbody

Como um site Magento atualizado é invadido? O que podemos fazer sobre isso?

security  bug  ce-1.9.2.4 
Martien van Boxtel
fonte
Eu enfrentei esse tipo de problema em um dos meus projetos. Onde o hacker obteve acesso à raiz do servidor e alterou todo o código ... Portanto, minha sugestão de alteração reinstala o sistema Magento de instalação no novo servidor. Antes de fazer isso, faça a tela de vírus de instância completa do magento. Corrigir o problema de codificação
Amit Bera
1
fazer uma comparação dos arquivos principais de uma instância magento limpo e seu site e remover o que não deveria estar lá
Marius
1
certifique-se de instalar todos os patches de segurança.
Bebê em Magento
1
Lembre-se de que a segurança é mais do que um código seguro. A configuração do servidor e da rede é igualmente importante. Além disso, qualquer módulo que você instalou não tem garantia de segurança, mesmo que seja popular e altamente revisado.
Goose
5
MagenX

Respostas:

7

Infelizmente, sem saber o ponto de entrada inicial, é impossível dizer. Pode ser um dos seguintes, que listei em ordem de minha própria opinião de probabilidade.

  1. Você foi invadido por uma extensão de terceiros.
  2. Você foi invadido por outro software no servidor, como o wordpress.
  3. Você foi hackeado antes de atualizar para a 1.9.2.4 e eles usaram o acesso que obtiveram antes da atualização (novo usuário administrador, ssh / ftp, shell reverso) para re-hackear o site.
  4. Alguém bruto forçou uma conta de usuário para ftp / ssh.
  5. Suas próprias credenciais de senha foram invadidas por um vírus / malware em sua própria máquina.
  6. Há um novo vetor de ataque na natureza que ainda não foi corrigido.

Sem uma análise aprofundada de todos os logs do servidor e do código fonte, é difícil dizer.

Peter O'Callaghan
fonte
Esta é uma resposta melhor do que poderia ter causado o problema, mas não o suficiente sobre o que ele pode fazer agora.
Goose
3

Como um site Magento atualizado é invadido?

Um site Magento como qualquer site é vulnerável porque está conectado à Internet. Quanto mais popular, maior a chance de alguém ou alguma coisa (bot) tentar obter acesso ao seu site.

Como ele pode ser hackeado é uma pergunta carregada, mas geralmente deixar vulnerabilidades de segurança abertas por conveniência SSH / FTP e não tomar as devidas precauções causará problemas. Na maioria das vezes, esses serviços ficam com portas padrão que são facilmente pesquisadas por bots e, por sua vez, são distribuídas a outras pessoas para tentativa de acesso. A aplicação incorreta de patches de segurança no sistema (magento e sistema operacional) também pode deixar a porta aberta para uma possível violação;

Deixar de detectar tentativas de hackers geralmente ocorre porque não existe um mecanismo para notificar o proprietário do sistema sobre as tentativas. Você também precisa verificar regularmente os logs de segurança em busca de atividades suspeitas.

Dar acesso a desenvolvedores desconhecidos também poderia abrir a possibilidade deles deixarem uma maneira de obter acesso no futuro. Eu nunca dou acesso direto a qualquer pessoa que contrate, se eles precisarem de acesso, eles me orientarão, mas normalmente só permito o acesso ao meu servidor de desenvolvimento.

O que podemos fazer sobre isso.

Não há informações suficientes, mas:

  • Restaurar seus arquivos de um backup
  • Se nenhum backup estiver disponível, anote todos os arquivos alterados (carimbo de data / hora) e substitua por arquivos conhecidos.

Senhas

Magento:

  • Verifique todos os usuários do sistema, remova os novos que não pertencem
  • Alterar todas as senhas para usuários válidos
  • Alterar link do painel de administração

Sistema

  • Alterar todas as senhas do sistema
  • Desative contas não utilizadas e / ou desnecessárias
  • Desative todos os pontos de acesso não essenciais (ou seja: SSH, FTP)
  • Se você precisar de SSH ou FTP, altere as portas padrão

Continue a monitorar e bloquear quaisquer bloqueios de IP suspeitos que estejam tentando acessar áreas restritas.

Se você acredita que algum dos dados e informações de seus usuários foram comprometidos, seria ético informá-los sobre a violação.

SR_Magento
fonte
1

Interessante! Meu site é uma rocha. Qualquer um pode invadir meu site. Por favor, tente no meu site.

Algumas informações de credenciais são as seguintes.

www.biblesatcost.com
www.biblesatcost.com/administrator 
ssh user: biblesat
pass: CelestialSeasonings

 <host><![CDATA[localhost]]></host>
 <username><![CDATA[biblesat_bacmain]]></username>
 <password><![CDATA[Maximum3]]></password>
 <dbname><![CDATA[biblesat_bacmage]]></dbname>

Estamos ansiosos para ouvir de você.

Saudações.

Robert Blackwell
fonte
Eu não dou uma solução para o problema. Por favor, use a seção de comentários para comentários.
precisa saber é o seguinte
1

O tópico é muito antigo, mas eu gostaria de mencionar algumas dicas que podem ajudá-lo a recuperar o site Magento invadido e também protegê-lo de futuras vulnerabilidades. Esses pontos são:

  • Identifique e determine o hack

  • Digitalize sua loja Magento com o MageReport

  • Verifique o Relatório de transparência do Google

  • Comparar e limpar modificações em arquivos e pastas

  • Tabelas de banco de dados hackeadas Magento limpas

  • Proteger o painel de administração do Magento

  • Aplicar patches de segurança e atualizar a versão Magento

  • Use conexões seguras

  • Crie backups depois que sua loja Magento for recuperada

  • Por último, mas não menos importante, use o Secure Magento Hosting

As práticas recomendadas incluem manter o Magento e suas versões de extensão atualizadas, usar nomes de usuário e senhas inteligentes e exclusivos, caminho de login de administrador personalizado e certificado SSL etc. Para saber mais sobre isso, leia a postagem do blog que escrevi . Por favor, dê uma olhada em Recupere sua loja Magento invadida .

Fayyaz Khattak
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.