Einige Tage bevor meine Magento Community Edition 1.8.1-Site gehackt wurde, haben wir den Patch zu spät installiert . Wir haben festgestellt, dass bestimmte Dateien geändert wurden
- index.php [Hacker haben Code hinzugefügt].
- get.php
- js / index.php
- js / lib / ccard.js
- lib / Varien / Autoload.php
Außerdem installierten sie ein Modul namens Magpleasure-Dateisystem
Aber nach dem Anwenden des Patches und dem Entfernen des gesamten Materials, das Hacker in unserem Anwendungsproblem hinzugefügt haben, ist es nicht gelöst.
Hacker ändern schließlich 3 Dateien
- get.php
- js / index.php
- js / lib / ccard.js
Fehlt uns etwas?
Wie kann man sie verhindern, indem man unsere Dateien angreift?
Funktioniert der Patch oder nicht? Wie soll ich das überprüfen?
magento-1.8
patches
security
Charlie
quelle
quelle
Antworten:
Es scheint, dass Ihr Magento-Setup irgendwann immer noch kompromittiert ist. Sie sollten daher die Magento + Webserver-Einstellungen sorgfältig überprüfen.
Sie können Ihrer Installation nicht vertrauen, wenn sie kompromittiert wurde. Der ultimative Weg wäre eine neue und saubere Einrichtung aller Dateien auf einem neuen Host mit der neuesten Sicherung, bevor Sie den Einkauf gefährden.
Wenn dies aus verschiedenen Gründen nicht möglich ist, können Sie Folgendes im Zusammenhang mit diesem Problem überprüfen / tun:
Entfernen Sie alle erkannten geänderten / gehackten Dateien sowie die installierten Erweiterungen
Noch besser: Machen Sie eine saubere (git) Prüfung von Ihrem Entwicklungssystem mit der neuesten Version. Dies ist am sichersten, es sei denn, Ihr Entwicklungs- / Staging-System wurde nicht beeinträchtigt (was nicht der Fall ist, wenn Sie lokal oder in einer geschützten Umgebung entwickeln).
Entfernen Sie erstellte Backend-Administratorkonten
Speziell für SUPEE-5344 wird im Backend ein Admin-Account angelegt. Entfernen Sie alle neuen / nicht benötigten Administratorkonten.
Backup-Plan
Abhängig von Ihrem Backup-Plan und Ihrer Backup-Strategie könnten Sie möglicherweise über ein Rollback Ihrer gesamten Datenbank nachdenken.
Überprüfen Sie die Datei- / Ordnerberechtigungen
Haben Sie Ihre Datei- / Ordnerberechtigungen überprüft? Es ist nicht erforderlich, alles mit 777 oder als Root-Benutzer auszuführen. Abhängig von Ihrer Serverkonfiguration können 400/500 ausreichen. Siehe Dokumentation hier.
Überprüfen Sie die Serverprotokolle
Überprüfen Sie das Zugriffs- / Fehlerprotokoll Ihres Webservers, um aufgerufene Websites und verdächtige URLs zu verfolgen. Möglicherweise stellen Sie fest, dass verdächtige IP-Adressen auf Firewall-Ebene blockiert werden müssen.
quelle
Das ist ziemlich normal, denke ich. Patches werden veröffentlicht, nachdem das Sicherheitsteam von Magento die Sicherheitsanfälligkeit entdeckt hat oder diese von jemandem gemeldet wurde. Bis dahin bleiben die Magento Stores ein Spielplatz für Hacker.
Einige zu überprüfende Dateien, die auch geändert werden könnten:
app / code / core / Mage / XmlConnect / Block / Checkout / Zahlung / Methode / Ccsave.php
app / code / core / Mage / Kunde / controller / AccountController.php
App / Code / Kern / Magier / Zahlung / Modell / Methode / Cc.php
app / code / core / Mage / Checkout / Model / Type / Onepage.php
Der folgende Befehl ist auch nützlich, um Malware / Backdoors / Shell zu finden, sobald Sie SSH auf Ihrem Server installiert haben:
Die obigen Informationen stammen von https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/
Könnte nützlich sein, um direkt zu überprüfen.
quelle