Magento è stato violato anche dopo l'applicazione della patch

16

Alcuni giorni prima che il mio sito Magento community edition 1.8.1 sia stato violato, perché siamo in ritardo per applicare la patch . abbiamo scoperto che alcuni file sono stati modificati

  1. index.php [gli hacker vi hanno aggiunto del codice].
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / autoload.php

E hanno anche installato un modulo chiamato file system Magpleasure

Ma dopo aver applicato la patch e rimosso tutto ciò che gli hacker hanno aggiunto nel nostro problema dell'applicazione non viene risolto.

gli hacker alla fine cambiano 3 file

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

C'è qualcosa che ci manca?

Come prevenirli attaccando i nostri file?

La patch funziona o no? Come devo verificarlo?

magento-1.8  patches  security 
Charlie
fonte
per prima cosa controlla se la vulnerabilità non è dal lato dell'hosting (non so come farlo). Forse sei stato violato con mezzi diversi da Magento.
Marius
Sì, l'abbiamo verificato chiedendo al team di hosting. hanno informato solo che abbiamo il permesso ssh, abbiamo cambiato anche tutta la password. ma inutile.
Charlie,
1
Ci sono altre applicazioni sullo stesso dominio? Ti piace WordPress o qualcosa del genere? Forse anche questi sono stati compromessi o sono entrati in queste app?
7
@ 7ochem, No, non ci sono altre applicazioni
Charlie,
1
I suggerimenti di Anna sono esatti e sembra che tu abbia identificato alcuni dei file più comuni modificati. Abbiamo documentato tutti quelli che abbiamo scoperto nei nostri sforzi di bonifica su github.com/comitdevelopers/magento-security-toolkit - ti preghiamo di prendere in considerazione l'aggiunta delle tue conoscenze conquistate duramente al progetto facendo il fork e inviando una richiesta pull.
Bryan 'BJ' Hoffpauir Jr.

Risposte:

16

Sembra che la tua configurazione di Magento sia ancora compromessa ad un certo punto, quindi dovresti controllare attentamente le impostazioni di Magento + Webserver.

Non puoi fidarti della tua installazione se è stata compromessa. Il modo migliore per procedere sarebbe una configurazione nuova e pulita di tutti i file su un nuovo host con l'ultimo backup prima che il tuo negozio fosse compromesso.

Se ciò non è possibile a causa di vari motivi, è possibile controllare / fare queste cose relative a questo problema:

Rimuovi tutti i file modificati / compromessi rilevati più le estensioni installate

Ancora meglio: esegui un checkout pulito (git) dal tuo sistema di sviluppo con l'ultima versione. Questo sarà il più sicuro a meno che anche il tuo sistema di sviluppo / stadiazione non sia stato compromesso (il che non è il caso se sviluppi localmente o in un ambiente protetto).

Rimuovi gli account amministratore back-end creati

Soprattutto per SUPEE-5344, ci sarà anche un account amministratore creato nel back-end. Rimuovi tutti gli account amministratore nuovi / non necessari.

Piano di backup

A seconda del piano di backup e della strategia, potresti forse pensare a un rollback del tuo database completo.

Controlla le autorizzazioni per file / cartelle

Hai controllato le autorizzazioni per file / cartelle? Non è necessario eseguire tutto con 777 o come utente root. A seconda della configurazione del server, 400/500 può essere sufficiente. Vedi la documentazione qui.

Controlla i log del server

Controlla il registro di accesso / errore dei server web per rintracciare i siti accessibili e gli URL sospetti. Forse trovi IP sospetti da bloccare a livello di firewall.

Anna Völkl
fonte
1

Questo è abbastanza normale, penso. Le patch arrivano dopo che il team di sicurezza di Magento ha scoperto la vulnerabilità o qualcuno glielo ha segnalato. Ma fino ad allora i negozi Magento rimangono un parco giochi per hacker.

Alcuni file per verificare quali potrebbero essere state modificate anche:

  1. app / code / core / Mage / XmlConnect / blocchi / Checkout / Pagamento / Metodo / Ccsave.php

  2. app / code / core / Mage / clienti / controller / AccountController.php

  3. app / code / core / Mage / Pagamento / modello / metodo / Cc.php

  4. app / code / core / Mage / Checkout / Modello / Tipo / Onepage.php

Inoltre, il seguente comando è utile per trovare malware / backdoor / shell una volta che sei SSH nel tuo server:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Ho preso le informazioni di cui sopra da https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Potrebbe essere utile controllare direttamente.

Shawn
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.