Magento hackte auch nach angewendetem Patch

16

Einige Tage bevor meine Magento Community Edition 1.8.1-Site gehackt wurde, haben wir den Patch zu spät installiert . Wir haben festgestellt, dass bestimmte Dateien geändert wurden

  1. index.php [Hacker haben Code hinzugefügt].
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / Autoload.php

Außerdem installierten sie ein Modul namens Magpleasure-Dateisystem

Aber nach dem Anwenden des Patches und dem Entfernen des gesamten Materials, das Hacker in unserem Anwendungsproblem hinzugefügt haben, ist es nicht gelöst.

Hacker ändern schließlich 3 Dateien

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

Fehlt uns etwas?

Wie kann man sie verhindern, indem man unsere Dateien angreift?

Funktioniert der Patch oder nicht? Wie soll ich das überprüfen?

Charlie
quelle
Überprüfen Sie zunächst, ob die Sicherheitsanfälligkeit nicht auf der Hostseite liegt (ich weiß nicht, wie das geht). Vielleicht wurdest du durch andere Mittel als Magento gehackt.
Marius
Ja, wir haben es überprüft, indem wir das Hosting-Team gefragt haben. Sie haben nur mitgeteilt, dass wir die SSH-Erlaubnis dazu haben. Wir haben auch das gesamte Passwort geändert. aber nützt nichts.
Charlie
1
Befinden sich andere Anwendungen in derselben Domäne? Wie WordPress oder so? Vielleicht waren diese auch kompromittiert oder sind über diese Apps reingekommen?
Chem.
@ 7ochem, Nein, es gibt keine anderen Anwendungen
Charlie
1
Annas Vorschläge sind genau richtig und Sie scheinen einige der am häufigsten geänderten Dateien identifiziert zu haben. Unter github.com/comitdevelopers/magento-security-toolkit haben wir alle Probleme dokumentiert, die wir bei unseren Korrekturmaßnahmen aufgedeckt haben. Erwägen Sie, Ihr eigenes Fachwissen in das Projekt einzubringen, indem Sie eine Pull-Anfrage stellen.
Bryan 'BJ' Hoffpauir Jr.

Antworten:

16

Es scheint, dass Ihr Magento-Setup irgendwann immer noch kompromittiert ist. Sie sollten daher die Magento + Webserver-Einstellungen sorgfältig überprüfen.

Sie können Ihrer Installation nicht vertrauen, wenn sie kompromittiert wurde. Der ultimative Weg wäre eine neue und saubere Einrichtung aller Dateien auf einem neuen Host mit der neuesten Sicherung, bevor Sie den Einkauf gefährden.

Wenn dies aus verschiedenen Gründen nicht möglich ist, können Sie Folgendes im Zusammenhang mit diesem Problem überprüfen / tun:

Entfernen Sie alle erkannten geänderten / gehackten Dateien sowie die installierten Erweiterungen

Noch besser: Machen Sie eine saubere (git) Prüfung von Ihrem Entwicklungssystem mit der neuesten Version. Dies ist am sichersten, es sei denn, Ihr Entwicklungs- / Staging-System wurde nicht beeinträchtigt (was nicht der Fall ist, wenn Sie lokal oder in einer geschützten Umgebung entwickeln).

Entfernen Sie erstellte Backend-Administratorkonten

Speziell für SUPEE-5344 wird im Backend ein Admin-Account angelegt. Entfernen Sie alle neuen / nicht benötigten Administratorkonten.

Backup-Plan

Abhängig von Ihrem Backup-Plan und Ihrer Backup-Strategie könnten Sie möglicherweise über ein Rollback Ihrer gesamten Datenbank nachdenken.

Überprüfen Sie die Datei- / Ordnerberechtigungen

Haben Sie Ihre Datei- / Ordnerberechtigungen überprüft? Es ist nicht erforderlich, alles mit 777 oder als Root-Benutzer auszuführen. Abhängig von Ihrer Serverkonfiguration können 400/500 ausreichen. Siehe Dokumentation hier.

Überprüfen Sie die Serverprotokolle

Überprüfen Sie das Zugriffs- / Fehlerprotokoll Ihres Webservers, um aufgerufene Websites und verdächtige URLs zu verfolgen. Möglicherweise stellen Sie fest, dass verdächtige IP-Adressen auf Firewall-Ebene blockiert werden müssen.

Anna Völkl
quelle
1

Das ist ziemlich normal, denke ich. Patches werden veröffentlicht, nachdem das Sicherheitsteam von Magento die Sicherheitsanfälligkeit entdeckt hat oder diese von jemandem gemeldet wurde. Bis dahin bleiben die Magento Stores ein Spielplatz für Hacker.

Einige zu überprüfende Dateien, die auch geändert werden könnten:

  1. app / code / core / Mage / XmlConnect / Block / Checkout / Zahlung / Methode / Ccsave.php

  2. app / code / core / Mage / Kunde / controller / AccountController.php

  3. App / Code / Kern / Magier / Zahlung / Modell / Methode / Cc.php

  4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

Der folgende Befehl ist auch nützlich, um Malware / Backdoors / Shell zu finden, sobald Sie SSH auf Ihrem Server installiert haben:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Die obigen Informationen stammen von https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Könnte nützlich sein, um direkt zu überprüfen.

Shawn
quelle