Magento meretas bahkan setelah tambalan diterapkan

16

Beberapa hari sebelum situs komunitas Magento edisi 1.8.1 saya diretas, karena kami terlambat menerapkan tambalan . kami menemukan beberapa file diubah yaitu

  1. index.php [peretas menambahkan beberapa kode]
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / Autoload.php

Dan mereka juga memasang modul yang disebut sistem file Magpleasure

Tetapi setelah menerapkan tambalan, dan menghapus semua hal yang ditambahkan peretas dalam masalah aplikasi kita tidak terpecahkan.

peretas akhirnya mengubah 3 file

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

Adakah yang hilang dari kita?

Bagaimana mencegahnya dengan menyerang file kita?

Apakah tambalan berfungsi atau tidak? Bagaimana saya harus memeriksanya?

Charlie
sumber
periksa dulu apakah kerentanannya tidak di sisi hosting (saya tidak tahu bagaimana melakukannya). Mungkin Anda diretas melalui cara lain selain Magento.
Marius
Ya, Kami memeriksanya dengan meminta tim hosting. mereka hanya memberi tahu kami memiliki izin ssh untuk itu, kami juga mengubah semua kata sandi. tapi tidak ada gunanya.
Charlie
1
Apakah ada aplikasi lain di domain yang sama? Suka WordPress atau apalah? Mungkin ini juga dikompromikan atau mereka masuk melalui aplikasi ini?
7ochem
@ 7ochem, Tidak, tidak ada aplikasi lain
Charlie
1
Saran Anna sangat tepat dan Anda tampaknya telah mengidentifikasi beberapa file yang paling umum dimodifikasi. Kami telah mendokumentasikan semua yang belum kami temukan dalam upaya perbaikan kami di github.com/comitdevelopers/magento-security-toolkit - harap pertimbangkan untuk menambahkan pengetahuan Anda yang telah diperoleh dengan susah payah ke proyek dengan forking dan mengirimkan permintaan tarik.
Bryan 'BJ' Hoffpauir Jr

Jawaban:

16

Sepertinya pengaturan Magento Anda masih terganggu di beberapa titik sehingga Anda harus hati-hati memeriksa pengaturan Magento + Webserver.

Anda tidak dapat mempercayai instalasi Anda jika itu dikompromikan. Cara terbaik untuk pergi adalah pengaturan baru & bersih semua file pada host baru dengan cadangan terbaru sebelum Anda berbelanja dikompromikan.

Jika ini tidak memungkinkan karena berbagai alasan, Anda dapat memeriksa / melakukan hal-hal yang berkaitan dengan masalah ini:

Hapus semua file yang diubah / diretas yang terdeteksi plus ekstensi yang diinstal

Bahkan lebih baik: Lakukan checkout bersih (git) dari sistem pengembangan Anda dengan versi terbaru. Ini akan menjadi yang paling aman kecuali jika sistem dev / staging Anda belum dikompromikan (yang tidak demikian halnya jika Anda mengembangkan secara lokal atau dalam lingkungan yang dilindungi).

Hapus akun admin backend yang dibuat

Khusus untuk SUPEE-5344, juga akan ada akun admin yang dibuat di backend. Hapus semua akun admin baru / tidak perlu.

Rencana cadangan

Bergantung pada rencana dan strategi cadangan Anda, Anda mungkin bisa memikirkan untuk mengembalikan database lengkap Anda.

Periksa izin file / folder

Apakah Anda memeriksa izin file / folder Anda? Tidak perlu menjalankan semuanya dengan 777 atau sebagai pengguna root. Tergantung pada konfigurasi server Anda 400/500 bisa cukup. Lihat dokumentasi di sini.

Periksa log server

Periksa log akses / kesalahan server web Anda untuk melacak situs yang diakses dan URL yang mencurigakan. Mungkin Anda menemukan IP yang mencurigakan untuk diblokir di tingkat firewall.

Anna Völkl
sumber
1

Kurasa ini biasa saja. Tambalan muncul setelah tim keamanan Magento menemukan kerentanan atau seseorang melaporkannya kepada mereka. Tetapi sampai saat itu toko-toko Magento tetap menjadi taman bermain para peretas.

Beberapa file untuk memeriksa yang mungkin telah dimodifikasi juga:

  1. app / code / core / Mage / XmlConnect / Block / Checkout / Pembayaran / Metode / Ccsave.php

  2. app / code / core / Mage / Pelanggan / pengendali / AccountController.php

  3. app / code / core / Mage / Pembayaran / Model / Metode / Cc.php

  4. app / code / core / Mage / Checkout / Model / Jenis / Onepage.php

Juga, perintah berikut berguna untuk menemukan malware / backdoors / shell setelah Anda SSH di server Anda:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Saya mengambil info di atas dari https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Mungkin bermanfaat untuk memeriksa secara langsung.

Shawn
sumber