Magento hackeado mesmo após o patch aplicado

Alguns dias antes do site Magento community edition 1.8.1 ser invadido, porque estamos atrasados ​​para aplicar o patch . descobrimos que certos arquivos foram alterados, esses são

1. index.php [hackers adicionaram algum código a ele].
2. get.php
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / Autoload.php

E eles também instalaram o módulo chamado sistema de arquivos Magpleasure

Mas depois de aplicar o patch e remover todas as coisas que os hackers adicionaram ao nosso problema de aplicativo não foram resolvidos.

hackers eventualmente mudando 3 arquivos

1. get.php
2. js / index.php
3. js / lib / ccard.js

Falta alguma coisa?

Como evitá-los, atacando nossos arquivos?

O patch está funcionando ou não? Como devo verificar isso?

Parece que sua configuração do Magento ainda está comprometida em algum momento, portanto você deve verificar cuidadosamente as configurações do Magento + Webserver.

Você não pode confiar na sua instalação se ela foi comprometida. O melhor caminho a seguir seria uma configuração nova e limpa de todos os arquivos em um novo host com o backup mais recente antes que a compra fosse comprometida.

Se isso não for possível devido a vários motivos, você pode verificar / executar as seguintes ações relacionadas a esse problema:

Remova todos os arquivos alterados / hackeados detectados, além de extensões instaladas

Ainda melhor: faça um check-out limpo (git) do seu sistema de desenvolvimento com a versão mais recente. Isso será o mais seguro, a menos que seu sistema de desenvolvimento / teste também não tenha sido comprometido (o que não é o caso se você desenvolver localmente ou em um ambiente protegido).

Remover contas de administrador de back-end criadas

Especialmente para SUPEE-5344, também haverá uma conta de administrador criada no back-end. Remova todas as contas de administrador novas / desnecessárias.

Plano B

Dependendo do seu plano e estratégia de backup, você pode pensar em uma reversão de seu banco de dados completo.

Verifique as permissões de arquivo / pasta

Você verificou suas permissões de arquivo / pasta? Não há necessidade de executar tudo com o 777 ou como usuário root. Dependendo da configuração do servidor, 400/500 pode ser suficiente. Veja a documentação aqui.

Verifique os logs do servidor

Verifique o acesso / log de erros dos servidores da web para rastrear sites acessados ​​e URLs suspeitos. Talvez você encontre IPs suspeitos para bloquear no nível do firewall.

Isso é bastante usual, eu acho. Os patches vêm depois que a equipe de segurança do Magento descobre a vulnerabilidade ou alguém as relata. Mas até então as lojas Magento continuam sendo um playground para hackers.

Alguns arquivos para verificar quais poderiam ter sido modificados também:

1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

2. app / code / core / Mage / Customer / controllers / AccountController.php

3. app / code / core / Mage / Payment / Model / Method / Cc.php

4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

Além disso, o comando a seguir é útil para encontrar malware / backdoors / shell quando você estiver com SSH no servidor:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Eu peguei as informações acima em https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Pode ser útil verificar diretamente.