Magento bị hack ngay cả sau khi áp dụng bản vá


16

Vài ngày trước khi trang web Magento phiên bản cộng đồng 1.8.1 của tôi bị hack, vì chúng tôi đã muộn để áp dụng bản vá . chúng tôi đã tìm thấy một số tập tin đã được thay đổi

  1. index.php [tin tặc đã thêm một số mã vào nó].
  2. có được
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / Autoload.php

Và họ cũng cài đặt mô-đun gọi là hệ thống tệp Magpleasure

Nhưng sau khi áp dụng bản vá, và loại bỏ tất cả những thứ mà tin tặc thêm vào trong vấn đề ứng dụng của chúng tôi không được giải quyết.

tin tặc cuối cùng thay đổi 3 tập tin

  1. có được
  2. js / index.php
  3. js / lib / ccard.js

Có bất cứ điều gì mà chúng ta đang thiếu?

Làm thế nào để ngăn chặn chúng bằng cách tấn công các tập tin của chúng tôi?

Bản vá có hoạt động hay không? Làm thế nào tôi nên kiểm tra điều đó?


trước tiên hãy kiểm tra xem lỗ hổng không nằm ở phía lưu trữ (tôi không biết làm thế nào để làm điều đó). Có thể bạn đã bị hack thông qua các phương tiện khác ngoài Magento.
Marius

Vâng, chúng tôi đã kiểm tra nó bằng cách yêu cầu đội ngũ lưu trữ. họ chỉ thông báo chúng tôi có quyền ssh với nó, chúng tôi cũng thay đổi tất cả mật khẩu. nhưng không sử dụng.
Charlie

1
Có ứng dụng nào khác trên cùng một tên miền không? Thích WordPress hay gì đó? Có lẽ những điều này cũng đã bị xâm phạm hoặc họ đã tham gia thông qua các ứng dụng này?
7ochem

@ 7ochem, Không, không có ứng dụng nào khác
Charlie

1
Đề xuất của Anna là tại chỗ và bạn dường như đã xác định được một vài tệp phổ biến nhất được sửa đổi. Chúng tôi đã ghi lại tất cả những gì chúng tôi đã phát hiện ra trong các nỗ lực khắc phục của chúng tôi tại github.com/comitdevelopers/magento-security-toolkit - vui lòng xem xét thêm kiến ​​thức khó giành được của bạn vào dự án bằng cách gửi và gửi yêu cầu kéo.
Bryan 'BJ' Hoffpauir Jr.

Câu trả lời:


16

Có vẻ như thiết lập Magento của bạn vẫn bị xâm phạm tại một số điểm, vì vậy bạn nên kiểm tra cẩn thận cài đặt Magento + Webserver.

Bạn không thể tin tưởng cài đặt của bạn nếu nó bị xâm phạm. Cách cuối cùng sẽ là thiết lập mới và sạch tất cả các tệp trên máy chủ mới với bản sao lưu mới nhất trước khi cửa hàng của bạn bị xâm phạm.

Nếu điều này là không thể vì nhiều lý do, bạn có thể kiểm tra / thực hiện những điều này liên quan đến vấn đề này:

Xóa tất cả các tệp đã thay đổi / bị hack cộng với các tiện ích mở rộng đã cài đặt

Thậm chí tốt hơn: Thực hiện kiểm tra (git) sạch từ hệ thống phát triển của bạn với phiên bản mới nhất. Điều này sẽ an toàn nhất trừ khi hệ thống dev / staging của bạn cũng không bị xâm phạm (điều này không xảy ra nếu bạn phát triển cục bộ hoặc trong một môi trường được bảo vệ).

Xóa tài khoản quản trị phụ trợ đã tạo

Đặc biệt đối với SUPEE-5344, cũng sẽ có một tài khoản quản trị viên được tạo trong phần phụ trợ. Xóa tất cả các tài khoản quản trị mới / không cần thiết.

Kế hoạch dự phòng

Tùy thuộc vào kế hoạch và chiến lược sao lưu của bạn, bạn có thể nghĩ về việc khôi phục lại cơ sở dữ liệu hoàn chỉnh của mình.

Kiểm tra quyền tập tin / thư mục

Bạn đã kiểm tra quyền tập tin / thư mục của bạn? Không cần phải chạy mọi thứ với 777 hoặc là người dùng root. Tùy thuộc vào cấu hình máy chủ của bạn 400/500 có thể là đủ. Xem tài liệu ở đây.

Kiểm tra nhật ký máy chủ

Kiểm tra nhật ký truy cập / lỗi máy chủ web của bạn để theo dõi các trang web được truy cập và các URL đáng ngờ. Có thể bạn tìm thấy IP đáng ngờ để chặn ở cấp độ tường lửa.


1

Điều này là khá bình thường tôi nghĩ. Các bản vá xuất hiện sau khi nhóm bảo mật của Magento phát hiện ra lỗ hổng hoặc ai đó báo cáo cho họ. Nhưng cho đến lúc đó các cửa hàng Magento vẫn là một sân chơi của tin tặc.

Một vài tệp để kiểm tra cũng có thể đã được sửa đổi:

  1. ứng dụng / mã / lõi / Mage / XmlConnect / Chặn / Thanh toán / Thanh toán / Phương thức / Ccsave.php

  2. ứng dụng / mã / lõi / Mage / Khách hàng / bộ điều khiển / AccountContoder.php

  3. ứng dụng / mã / lõi / Pháp sư / Thanh toán / Mô hình / Phương thức / Cc.php

  4. ứng dụng / mã / lõi / Pháp sư / Thanh toán / Mô hình / Loại / Onepage.php

Ngoài ra, lệnh sau đây có ích trong việc tìm phần mềm độc hại / backreen / shell sau khi bạn SSH trong máy chủ của mình:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Tôi đã lấy thông tin trên từ https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Có thể hữu ích để kiểm tra trực tiếp.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.