Magento hackeado incluso después de aplicar el parche

16

Algunos días antes de que mi sitio Magento community edition 1.8.1 sea pirateado, porque llegamos tarde a aplicar el parche . encontramos que ciertos archivos fueron cambiados esos son

  1. index.php [los hackers le agregaron un código].
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / Autoload.php

Y también instalaron un módulo llamado sistema de archivos Magpleasure

Pero después de aplicar el parche y eliminar todo lo que los hackers agregaron en nuestro problema de aplicación no se resuelve.

los piratas informáticos eventualmente cambian 3 archivos

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

¿Hay algo que nos falta?

¿Cómo prevenirlos atacando nuestros archivos?

¿El parche funciona o no? ¿Cómo debo verificar eso?

Charlie
fuente
primero verifique si la vulnerabilidad no está en el lado del alojamiento (no sé cómo hacerlo). Tal vez te piratearon por otros medios que no sean Magento.
Marius
Sí, lo comprobamos preguntando al equipo anfitrión. informaron que solo tenemos permiso ssh, también cambiamos toda la contraseña. Pero no sirve de nada.
Charlie
1
¿Hay otras aplicaciones en el mismo dominio? ¿Te gusta WordPress o algo así? ¿Quizás estos también se vieron comprometidos o entraron a través de estas aplicaciones?
7ochem
@ 7ochem, No, no hay otras aplicaciones
Charlie
1
Las sugerencias de Anna son acertadas y parece que has identificado algunos de los archivos más comunes modificados. Hemos documentado todos los que hemos descubierto en nuestros esfuerzos de remediación en github.com/comitdevelopers/magento-security-toolkit . Considere agregar su propio conocimiento ganado con esfuerzo al proyecto bifurcando y enviando una solicitud de extracción.
Bryan 'BJ' Hoffpauir Jr.

Respuestas:

16

Parece que su configuración de Magento todavía está comprometida en algún momento, por lo que debe verificar cuidadosamente la configuración de Magento + Webserver.

No puede confiar en su instalación si se vio comprometida. La mejor manera de hacerlo sería una configuración nueva y limpia de todos los archivos en un nuevo host con la última copia de seguridad antes de que la tienda se vea comprometida.

Si esto no es posible debido a varias razones, puede marcar / hacer estas cosas relacionadas con este problema:

Elimine todos los archivos modificados / pirateados detectados más las extensiones instaladas

Aún mejor: haga un pago limpio (git) desde su sistema de desarrollo con la última versión. Esto será lo más seguro a menos que su sistema de desarrollo / preparación no se haya visto comprometido también (que no es el caso si se desarrolla localmente o en un entorno protegido).

Eliminar las cuentas de administrador de backend creadas

Especialmente para SUPEE-5344, también habrá una cuenta de administrador creada en el backend. Elimine todas las cuentas de administrador nuevas / innecesarias.

Plan de respaldo

Dependiendo de su plan y estrategia de respaldo, tal vez podría pensar en una reversión de su base de datos completa.

Verifique los permisos de archivo / carpeta

¿Revisó los permisos de su archivo / carpeta? No es necesario ejecutar todo con 777 o como usuario root. Dependiendo de la configuración de su servidor, 400/500 puede ser suficiente. Ver documentación aquí.

Verificar registros del servidor

Verifique el registro de acceso / error de su servidor web para rastrear los sitios accedidos y las URL sospechosas. Tal vez encuentre IP sospechosas para bloquear en el nivel de firewall.

Anna Völkl
fuente
1

Esto es bastante habitual, creo. Los parches se producen después de que el equipo de seguridad de Magento descubre la vulnerabilidad o alguien se lo informa. Pero hasta entonces, las tiendas Magento siguen siendo un patio de juegos para hackers.

Algunos archivos para verificar que también podrían haberse modificado:

  1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

  2. app / code / core / Mage / Customer / controllers / AccountController.php

  3. app / code / core / Mage / Payment / Model / Method / Cc.php

  4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

Además, el siguiente comando es útil para encontrar malware / puertas traseras / shell una vez que esté SSH en su servidor:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Tomé la información anterior de https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Puede ser útil verificar directamente.

Shawn
fuente