Dựa trên mô tả của OP, thật khó để xác định trạng thái hiện tại của hệ thống đối với Magento bị xâm nhập. Thật không may, như tôi thảo luận dưới đây, cài đặt các bản sửa lỗi sẽ không giải quyết vấn đề của bạn nếu bạn đã bị xâm phạm. Họ chỉ ngăn chặn các cuộc tấn công trong tương lai, Họ KHÔNG LÀM GÌ ĐỂ CỐ ĐỊNH MỘT HỆ THỐNG R ALNG ĐƯỢC CẠNH TRANH.
Chúng tôi đã ghi lại nghiên cứu của chúng tôi để cung cấp một danh sách các chữ ký tấn công đã biết để bạn có thể kiểm tra hệ thống của mình để tìm bằng chứng về chúng và phản hồi tương ứng. Hãy nhớ rằng chúng tôi chưa bao giờ thấy hai thỏa hiệp giống hệt nhau, vì vậy có khả năng hệ thống cụ thể của bạn có thể hơi khác một chút - nếu bạn phát hiện ra bất cứ điều gì trên hệ thống của bạn mà chúng tôi chưa có tài liệu, vui lòng chia sẻ với chúng tôi chúng tôi có thể cập nhật hướng dẫn chữ ký tấn công hoặc chỉ cần rẽ nhánh, cập nhật và gửi yêu cầu kéo.
Chúng tôi đang làm việc trên một bộ công cụ để tự động khắc phục các mục này nhưng có thể là một hoặc hai tuần cho đến khi nó sẵn sàng để phân phối. Trong khi đó, chúng tôi chia sẻ kiến thức mà chúng tôi có được khi thực hiện các thỏa hiệp này với mọi người trong cộng đồng nhằm đảm bảo mọi người đều an toàn như mong đợi.
Tôi đang bao gồm Quy trình phân tích và phản hồi bảo mật 3 bước bên dưới mà chúng tôi đã làm việc nhiều lần để có kết quả nhất quán. Giả định chính mà bạn sẽ phải đưa ra là bạn không thể biết những gì đã hoặc chưa bị xâm phạm cho đến khi bạn làm khác các tệp trong hệ thống của mình so với mã nguồn mặc định do Magento cung cấp hoặc bản sao bạn đã tạo trong Kho lưu trữ (Git / Mercurial / SVN). BẠN NÊN ĐÁNH GIÁ rằng cơ sở dữ liệu và thông tin đăng nhập của bạn đã bị xâm phạm và thay đổi tất cả.
LƯU Ý TIÊU CHUẨN: Cài đặt các bản vá từ Magento SILL KHÔNG giúp bạn nếu bạn đã bị xâm phạm. Tốt nhất, nó sẽ ngăn chặn các thỏa hiệp BỔ SUNG của các loại đã biết, nhưng nếu bạn đã bị xâm phạm thì bạn sẽ phải cài đặt các bản vá và khắc phục hệ thống của bạn như chúng tôi nhấn mạnh bên dưới.
Giai đoạn 1: Xác định phạm vi thỏa hiệp của bạn. Mỗi và một trong những mục tôi liệt kê dưới đây là chữ ký chúng tôi đã phát hiện trên các trang web Magento bị xâm nhập đặc biệt liên quan đến thông báo lỗ hổng SUPEE-5344 và SUPEE-5994. Sau khi bạn đã cài đặt các bản vá gần đây nhất ( và bất kỳ bản vá nào khác mà bạn có thể cần cài đặt từ Magento ), bạn cần phải đi qua từng bản và kiểm tra xem bạn có tìm thấy bất kỳ bằng chứng nào về chữ ký trên hệ thống của mình không. Nhiều người trong số họ là đủ để cho phép kẻ tấn công vào lại hệ thống của bạn sau khi bạn vá nó, vì vậy bạn sẽ phải siêng năng và đảm bảo rằng bạn không bỏ qua bất cứ điều gì hoặc không khắc phục được.
Bạn cũng có thể sử dụng máy quét trực tuyến từ Magento , nhưng nói chung, những thứ này sẽ chỉ cho bạn biết nếu bạn đã cài đặt các bản vá và ngăn chặn sự thỏa hiệp trong tương lai. Nếu bạn đã bị xâm nhập, chúng sẽ không quét các cửa sau hoặc các cuộc tấn công khác có thể đã được cài đặt khi bạn bị tấn công lần đầu tiên. ít nhất không ai trong số chúng tôi đã thử nghiệm tìm thấy chữ ký mà chúng tôi đã phát hiện ra. Bảo vệ theo chiều sâu là con đường để đi, có nghĩa là nhiều lần quét và đánh giá từ nhiều công cụ và quan điểm nếu bạn muốn tự tin vào kết quả.
Giai đoạn 2: Xóa những gì bạn phải và thay thế những gì bạn có thể: sử dụng các tệp gốc từ kho lưu trữ của bạn hoặc các tệp nguồn Magento. Nếu bạn không chạy một trong những phiên bản mới nhất, bạn vẫn có thể sử dụng trang tải xuống Magento để lấy các nguồn phiên bản cũ hơn từ trang web của họ.
Giai đoạn 3: Đặt lại thông tin xác thực: Kiểm kê mỗi lần sử dụng tên đăng nhập và mật khẩu liên quan đến việc triển khai của bạn và đặt lại tất cả, bao gồm
- Đăng nhập tài khoản Merchant và khóa API
- Đăng nhập và mật khẩu quản trị viên Magento
- Thông tin tài khoản email
- LDAP / AD / Hệ thống xác thực chính
- Mật khẩu
- MỌI ĐIỀU
- Bạn có thể chắc chắn một cách hợp lý rằng các bước trước sẽ giúp bạn thanh lọc những người bị nhiễm bệnh nhưng bạn không thể biết liệu mật khẩu đã bị đánh hơi hoặc khóa được ghi lại hay là nạn nhân của một số cuộc tấn công khác, vì vậy, đặt lại tất cả thông tin liên quan là lựa chọn an toàn nhất nếu bạn định cố gắng khắc phục một hệ thống bị xâm nhập.
Hướng dẫn quá dài để đăng trong phản hồi này nhưng danh sách chữ ký có thể được tải xuống ngay lập tức tại kho lưu trữ GitHub của Bộ công cụ bảo mật Magento của chúng tôi .