Magento bị hack ngay cả sau khi áp dụng bản vá

Vài ngày trước khi trang web Magento phiên bản cộng đồng 1.8.1 của tôi bị hack, vì chúng tôi đã muộn để áp dụng bản vá . chúng tôi đã tìm thấy một số tập tin đã được thay đổi

1. index.php [tin tặc đã thêm một số mã vào nó].
2. có được
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / Autoload.php

Và họ cũng cài đặt mô-đun gọi là hệ thống tệp Magpleasure

Nhưng sau khi áp dụng bản vá, và loại bỏ tất cả những thứ mà tin tặc thêm vào trong vấn đề ứng dụng của chúng tôi không được giải quyết.

tin tặc cuối cùng thay đổi 3 tập tin

1. có được
2. js / index.php
3. js / lib / ccard.js

Có bất cứ điều gì mà chúng ta đang thiếu?

Làm thế nào để ngăn chặn chúng bằng cách tấn công các tập tin của chúng tôi?

Bản vá có hoạt động hay không? Làm thế nào tôi nên kiểm tra điều đó?

Có vẻ như thiết lập Magento của bạn vẫn bị xâm phạm tại một số điểm, vì vậy bạn nên kiểm tra cẩn thận cài đặt Magento + Webserver.

Bạn không thể tin tưởng cài đặt của bạn nếu nó bị xâm phạm. Cách cuối cùng sẽ là thiết lập mới và sạch tất cả các tệp trên máy chủ mới với bản sao lưu mới nhất trước khi cửa hàng của bạn bị xâm phạm.

Nếu điều này là không thể vì nhiều lý do, bạn có thể kiểm tra / thực hiện những điều này liên quan đến vấn đề này:

Xóa tất cả các tệp đã thay đổi / bị hack cộng với các tiện ích mở rộng đã cài đặt

Thậm chí tốt hơn: Thực hiện kiểm tra (git) sạch từ hệ thống phát triển của bạn với phiên bản mới nhất. Điều này sẽ an toàn nhất trừ khi hệ thống dev / staging của bạn cũng không bị xâm phạm (điều này không xảy ra nếu bạn phát triển cục bộ hoặc trong một môi trường được bảo vệ).

Xóa tài khoản quản trị phụ trợ đã tạo

Đặc biệt đối với SUPEE-5344, cũng sẽ có một tài khoản quản trị viên được tạo trong phần phụ trợ. Xóa tất cả các tài khoản quản trị mới / không cần thiết.

Kế hoạch dự phòng

Tùy thuộc vào kế hoạch và chiến lược sao lưu của bạn, bạn có thể nghĩ về việc khôi phục lại cơ sở dữ liệu hoàn chỉnh của mình.

Kiểm tra quyền tập tin / thư mục

Bạn đã kiểm tra quyền tập tin / thư mục của bạn? Không cần phải chạy mọi thứ với 777 hoặc là người dùng root. Tùy thuộc vào cấu hình máy chủ của bạn 400/500 có thể là đủ. Xem tài liệu ở đây.

Kiểm tra nhật ký máy chủ

Kiểm tra nhật ký truy cập / lỗi máy chủ web của bạn để theo dõi các trang web được truy cập và các URL đáng ngờ. Có thể bạn tìm thấy IP đáng ngờ để chặn ở cấp độ tường lửa.

Điều này là khá bình thường tôi nghĩ. Các bản vá xuất hiện sau khi nhóm bảo mật của Magento phát hiện ra lỗ hổng hoặc ai đó báo cáo cho họ. Nhưng cho đến lúc đó các cửa hàng Magento vẫn là một sân chơi của tin tặc.

Một vài tệp để kiểm tra cũng có thể đã được sửa đổi:

1. ứng dụng / mã / lõi / Mage / XmlConnect / Chặn / Thanh toán / Thanh toán / Phương thức / Ccsave.php

2. ứng dụng / mã / lõi / Mage / Khách hàng / bộ điều khiển / AccountContoder.php

3. ứng dụng / mã / lõi / Pháp sư / Thanh toán / Mô hình / Phương thức / Cc.php

4. ứng dụng / mã / lõi / Pháp sư / Thanh toán / Mô hình / Loại / Onepage.php

Ngoài ra, lệnh sau đây có ích trong việc tìm phần mềm độc hại / backreen / shell sau khi bạn SSH trong máy chủ của mình:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Tôi đã lấy thông tin trên từ https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Có thể hữu ích để kiểm tra trực tiếp.