Gehackte Magento-Site 1.9.2.4

7

Wir haben eine gehackte Magento-Website, die auf Update 1.9.2.4 ist.

Die Dateien, die gehackt werden, sind:

  • api.php
  • indexs.php: Hackscript
  • postfix.php: Hackscript
  • skin/adminhtml/default/default/filesystem/css/loader.php
  • js/editarea/plugins/charmap/jscripts/ajax.php

Der Hacker hat unseren Server verwendet, um Mail-Google Mail-Websites zu bouncen und vorhandene Mail-Adressen zu finden. Im E-Mail-Anhang verwendete er eine andere gehackte Magento-Site, um andere Dateien zu hosten.

Postkörper

Wie kann eine aktualisierte Magento-Site gehackt werden? Was können wir dagegen tun?

security bug ce-1.9.2.4 Martien van Boxtel
quelle
Ich habe diese Art von Problem bei einem meiner Projekte festgestellt. Wo Hacker Server-Root-Zugriff haben und den gesamten Code ändern ... Mein Vorschlag zur Änderung installiert Ihr installiertes Magento-System auf einem neuen Server neu. Führen Sie zuvor den Magento-Vollinstanz-Virenbildschirm aus. Beheben Sie das Codierungsproblem
Amit Bera
1
Machen Sie einen Unterschied zwischen den Kerndateien einer sauberen Magento-Instanz und Ihrer Website und entfernen Sie, was nicht vorhanden sein sollte
Marius
1
Stellen Sie sicher, dass Sie alle Sicherheitspatches installieren.
Baby in Magento
1
Denken Sie daran, dass Sicherheit mehr als sicherer Code ist. Ebenso wichtig ist, wie Ihr Server und Ihr Netzwerk eingerichtet sind. Außerdem ist nicht garantiert, dass ein von Ihnen installiertes Modul sicher ist, selbst wenn es beliebt und hoch bewertet ist.
Gans
5
Mögliches Duplikat von Magento gehackt auch nach angewendetem Patch
MagenX

Antworten:

7

Leider ist es unmöglich zu sagen, ohne den anfänglichen Einstiegspunkt zu kennen. Es kann eine der folgenden sein, die ich in der Reihenfolge meiner eigenen Meinung zur Wahrscheinlichkeit aufgelistet habe.

  1. Sie wurden über eine Drittanbieter-Erweiterung gehackt.
  2. Sie wurden über eine andere Software auf dem Server wie WordPress gehackt.
  3. Sie wurden gehackt, bevor Sie ein Upgrade auf 1.9.2.4 durchgeführt haben, und sie haben den Zugriff verwendet, den sie vor dem Update erhalten haben (neuer Administrator, ssh / ftp, Reverse Shell), um die Site erneut zu hacken.
  4. Jemand, der brutal ist, hat ein Benutzerkonto für ftp / ssh erzwungen.
  5. Ihre eigenen Passwort-Anmeldeinformationen wurden über einen Virus / eine Malware auf Ihrem eigenen Computer entführt.
  6. Es gibt einen neuen Angriffsvektor in freier Wildbahn, der noch nicht gepatcht wurde.

Ohne eine eingehende Analyse aller Serverprotokolle und des Quellcodes ist dies schwer zu sagen.

Peter O'Callaghan
quelle
Dies ist eine bessere Antwort darauf, was das Problem verursacht haben könnte, aber nicht genug, was er jetzt tun kann.
Gans
3

Wie kann eine aktualisierte Magento-Site gehackt werden?

Eine Magento-Site wie jede andere Site ist anfällig, da sie mit dem Internet verbunden ist. Je beliebter, desto höher ist die Wahrscheinlichkeit, dass jemand oder etwas (Bot) versucht, Zugriff auf Ihre Website zu erhalten.

Wie es gehackt werden kann, ist eine geladene Frage. Wenn Sie jedoch Sicherheitslücken offen lassen, um SSH / FTP zu vereinfachen, und wenn Sie nicht die richtigen Vorsichtsmaßnahmen treffen, kann dies zu Problemen führen. Meistens verbleiben bei diesen Diensten Standardports, die von Bots leicht gescannt und für versuchten Zugriff an andere verteilt werden können. Wenn das System (Magento und Betriebssystem) nicht ordnungsgemäß mit Sicherheitspatches versehen wird, kann die Tür auch für einen möglichen Verstoß offen bleiben.

Das Nichterkennen von Hacking-Versuchen liegt im Allgemeinen daran, dass kein Mechanismus vorhanden ist, um den Systembesitzer über die Versuche zu informieren. Sie müssen Ihre Sicherheitsprotokolle außerdem regelmäßig auf verdächtige Aktivitäten überprüfen.

Durch den Zugriff auf unbekannte Entwickler könnte auch die Möglichkeit eröffnet werden, dass sie in Zukunft Zugriff erhalten. Ich gebe niemandem, den ich anheuere, direkten Zugriff. Wenn er Zugriff benötigt, führt er mich durch den Vorgang, aber normalerweise erlaube ich nur den Zugriff auf meinen Entwicklungsserver.

Was können wir dagegen tun.

Es gibt nicht genug Informationen, aber:

  • Stellen Sie Ihre Dateien aus einer Sicherung wieder her
  • Wenn keine Sicherung verfügbar ist, notieren Sie sich alle geänderten Dateien (Datums- / Zeitstempel) und ersetzen Sie sie durch bekannte gute Dateien

Passwörter

Magento:

  • Überprüfen Sie alle Systembenutzer und entfernen Sie alle neuen, die nicht dazu gehören
  • Ändern Sie alle Passwörter für gültige Benutzer
  • Ändern Sie den Link im Admin-Bereich

System

  • Ändern Sie alle Systemkennwörter
  • Deaktivieren Sie nicht verwendete und / oder unnötige Konten
  • Deaktivieren Sie alle nicht wesentlichen Zugriffspunkte (z. B. SSH, FTP).
  • Wenn Sie SSH oder FTP benötigen, ändern Sie die Standardports

Überwachen und blockieren Sie weiterhin verdächtige IP-Blöcke, die versuchen, auf eingeschränkte Bereiche zuzugreifen.

Wenn Sie der Meinung sind, dass Daten und Informationen Ihrer Benutzer kompromittiert wurden, ist es ethisch vertretbar, sie über den Verstoß zu informieren.

SR_Magento
quelle
1

Interessant! Meine Seite ist ein Stein. Jeder kann meine Seite knacken. Bitte versuchen Sie es auf meiner Website.

Einige Informationen zu Anmeldeinformationen lauten wie folgt.

www.biblesatcost.com
www.biblesatcost.com/administrator 
ssh user: biblesat
pass: CelestialSeasonings

 <host><![CDATA[localhost]]></host>
 <username><![CDATA[biblesat_bacmain]]></username>
 <password><![CDATA[Maximum3]]></password>
 <dbname><![CDATA[biblesat_bacmage]]></dbname>

Wir freuen uns von Ihnen zu hören.

Grüße.

Robert Blackwell
quelle
Ich gebe keine Lösung für das Problem. Bitte benutzen Sie den Kommentarbereich für Kommentare.
Brentwpeterson
1

Der Thread ist zu alt, aber ich möchte einige Tipps erwähnen, die Ihnen helfen können, Ihre gehackte Magento-Site wiederherzustellen und sie auch vor zukünftigen Schwachstellen zu schützen. Diese Punkte sind:

  • Identifizieren und bestimmen Sie den Hack

  • Scannen Sie Ihren Magento Store mit MageReport

  • Überprüfen Sie den Google-Transparenzbericht

  • Vergleichen und Bereinigen von Änderungen in Dateien und Ordnern

  • Reinigen Sie Magento Hacked DB-Tabellen

  • Sichern Sie das Magento Admin Panel

  • Wenden Sie Sicherheitspatches an und aktualisieren Sie die Magento-Version

  • Verwenden Sie sichere Verbindungen

  • Erstellen Sie Backups, sobald Ihr Magento-Store wiederhergestellt ist

  • Last but not least verwenden Sie Secure Magento Hosting

Zu den Best Practices gehört es, Ihr Magento und seine Erweiterungsversionen auf dem neuesten Stand zu halten, indem Sie intelligente und eindeutige Benutzernamen und Kennwörter, einen benutzerdefinierten Administrator-Anmeldepfad und ein SSL-Zertifikat usw. verwenden. Um mehr darüber zu erfahren, lesen Sie den gesamten Blog-Beitrag, den ich geschrieben habe . Bitte schauen Sie sich Recover Your Hacked Magento Store an .

Fayyaz Khattak
quelle