Magento hackeado mesmo após o patch aplicado


16

Alguns dias antes do site Magento community edition 1.8.1 ser invadido, porque estamos atrasados ​​para aplicar o patch . descobrimos que certos arquivos foram alterados, esses são

  1. index.php [hackers adicionaram algum código a ele].
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / Autoload.php

E eles também instalaram o módulo chamado sistema de arquivos Magpleasure

Mas depois de aplicar o patch e remover todas as coisas que os hackers adicionaram ao nosso problema de aplicativo não foram resolvidos.

hackers eventualmente mudando 3 arquivos

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

Falta alguma coisa?

Como evitá-los, atacando nossos arquivos?

O patch está funcionando ou não? Como devo verificar isso?


verifique primeiro se a vulnerabilidade não está do lado da hospedagem (não sei como fazer isso). Talvez você tenha sido invadido por outros meios além do Magento.
Marius

Sim, verificamos perguntando à equipe de hospedagem. eles informaram apenas que temos permissão ssh, também alteramos toda a senha. mas não adianta.
Charlie

1
Existem outros aplicativos no mesmo domínio? Como o WordPress ou algo assim? Talvez eles também tenham sido comprometidos ou entraram nesses aplicativos?
7ochem

@ 7ochem, Não, não há outras aplicações #
Charlie

1
As sugestões de Anna são imediatas e você parece ter identificado alguns dos arquivos mais comuns modificados. Documentamos todos os que descobrimos em nossos esforços de correção no github.com/comitdevelopers/magento-security-toolkit - considere adicionar seu próprio conhecimento adquirido com muito esforço ao projeto , forqueando e enviando uma solicitação de recebimento.
Bryan 'BJ' Hoffpauir Jr.

Respostas:


16

Parece que sua configuração do Magento ainda está comprometida em algum momento, portanto você deve verificar cuidadosamente as configurações do Magento + Webserver.

Você não pode confiar na sua instalação se ela foi comprometida. O melhor caminho a seguir seria uma configuração nova e limpa de todos os arquivos em um novo host com o backup mais recente antes que a compra fosse comprometida.

Se isso não for possível devido a vários motivos, você pode verificar / executar as seguintes ações relacionadas a esse problema:

Remova todos os arquivos alterados / hackeados detectados, além de extensões instaladas

Ainda melhor: faça um check-out limpo (git) do seu sistema de desenvolvimento com a versão mais recente. Isso será o mais seguro, a menos que seu sistema de desenvolvimento / teste também não tenha sido comprometido (o que não é o caso se você desenvolver localmente ou em um ambiente protegido).

Remover contas de administrador de back-end criadas

Especialmente para SUPEE-5344, também haverá uma conta de administrador criada no back-end. Remova todas as contas de administrador novas / desnecessárias.

Plano B

Dependendo do seu plano e estratégia de backup, você pode pensar em uma reversão de seu banco de dados completo.

Verifique as permissões de arquivo / pasta

Você verificou suas permissões de arquivo / pasta? Não há necessidade de executar tudo com o 777 ou como usuário root. Dependendo da configuração do servidor, 400/500 pode ser suficiente. Veja a documentação aqui.

Verifique os logs do servidor

Verifique o acesso / log de erros dos servidores da web para rastrear sites acessados ​​e URLs suspeitos. Talvez você encontre IPs suspeitos para bloquear no nível do firewall.


1

Isso é bastante usual, eu acho. Os patches vêm depois que a equipe de segurança do Magento descobre a vulnerabilidade ou alguém as relata. Mas até então as lojas Magento continuam sendo um playground para hackers.

Alguns arquivos para verificar quais poderiam ter sido modificados também:

  1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

  2. app / code / core / Mage / Customer / controllers / AccountController.php

  3. app / code / core / Mage / Payment / Model / Method / Cc.php

  4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

Além disso, o comando a seguir é útil para encontrar malware / backdoors / shell quando você estiver com SSH no servidor:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Eu peguei as informações acima em https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Pode ser útil verificar diretamente.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.