Magento แฮ็คแม้จะใช้ปะ


16

บางวันก่อนเว็บไซต์ Magento community รุ่น 1.8.1 ของฉันถูกแฮ็กเพราะเราไม่สามารถนำpatch มาใช้ได้ เราพบว่ามีการเปลี่ยนแปลงไฟล์บางไฟล์

  1. index.php [แฮ็กเกอร์เพิ่มรหัสเข้าไป]
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / autoload.php

และพวกเขายังติดตั้งโมดูลที่เรียกว่าระบบไฟล์ Magpleasure

แต่หลังจากใช้แพทช์แล้วลบสิ่งที่แฮ็กเกอร์ที่เพิ่มเข้าไปในปัญหาแอปพลิเคชันของเราไม่ได้รับการแก้ไข

แฮกเกอร์ในที่สุดก็เปลี่ยนไฟล์ 3 ไฟล์

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

มีอะไรที่เราขาดหายไปไหม

จะป้องกันพวกเขาด้วยการโจมตีไฟล์ของเราได้อย่างไร?

แพทช์ทำงานหรือไม่? ฉันจะตรวจสอบสิ่งนั้นได้อย่างไร


ก่อนอื่นตรวจสอบว่าช่องโหว่ไม่ได้อยู่ในพื้นที่โฮสติ้ง (ฉันไม่ทราบวิธีการทำ) บางทีคุณอาจถูกแฮ็กด้วยวิธีอื่นนอกเหนือจาก Magento
Marius

ใช่เราตรวจสอบโดยขอทีมงานโฮสติ้ง พวกเขาแจ้งว่าเราเท่านั้นที่ได้รับอนุญาตจาก ssh เราได้เปลี่ยนรหัสผ่านทั้งหมดด้วย แต่ไม่มีประโยชน์
Charlie

1
มีแอปพลิเคชันอื่น ๆ ในโดเมนเดียวกันหรือไม่ ชอบ WordPress หรืออะไร? บางทีสิ่งเหล่านี้อาจถูกบุกรุกหรือพวกเขาผ่านแอพเหล่านี้?
7ochem

@ 7ochem, No, ไม่มีแอปพลิเคชั่นอื่น ๆ
Charlie

1
คำแนะนำของแอนนานั้นเป็นจุด ๆ และคุณก็พบว่ามีการแก้ไขไฟล์ทั่วไปบางส่วน เราได้จัดทำเอกสารทุกอย่างที่เราเปิดเผยในความพยายามฟื้นฟูของเราที่github.com/comitdevelopers/magento-security-toolkit - โปรดพิจารณาเพิ่มความรู้ที่ได้รับยากของคุณให้กับโครงการโดยการฟอร์กและส่งคำขอดึง
Bryan 'BJ' Hoffpauir Jr.

คำตอบ:


16

ดูเหมือนว่าการตั้งค่า Magento ของคุณยังคงอยู่ในบางจุดดังนั้นคุณควรตรวจสอบการตั้งค่า Magento + Webserver อย่างระมัดระวัง

คุณไม่สามารถเชื่อถือการติดตั้งของคุณหากมันถูกบุกรุก วิธีที่ดีที่สุดที่จะไปคือการตั้งค่าใหม่และล้างไฟล์ทั้งหมดในโฮสต์ใหม่ด้วยการสำรองข้อมูลล่าสุดก่อนที่คุณจะซื้อสินค้าถูกบุกรุก

หากไม่สามารถทำได้เนื่องจากสาเหตุหลายประการคุณอาจตรวจสอบ / ทำสิ่งเหล่านี้ที่เกี่ยวข้องกับปัญหานี้:

ลบไฟล์ที่ถูกเปลี่ยนแปลง / ถูกแฮ็กที่ตรวจพบทั้งหมดรวมถึงส่วนขยายที่ติดตั้ง

ยิ่งไปกว่านั้น: ทำการชำระเงินที่สะอาด (git) จากระบบการพัฒนาของคุณด้วยเวอร์ชันล่าสุด สิ่งนี้จะปลอดภัยที่สุดเว้นแต่ว่าระบบ dev / การจัดเตรียมของคุณจะไม่ถูกโจมตีด้วยเช่นกัน (ซึ่งไม่ใช่กรณีถ้าคุณพัฒนาในพื้นที่หรือในสภาพแวดล้อมที่ได้รับการป้องกัน)

ลบบัญชีผู้ดูแลระบบแบ็กเอนด์ที่สร้างขึ้น

โดยเฉพาะอย่างยิ่งสำหรับ SUPEE-5344 จะมีบัญชีผู้ดูแลระบบที่สร้างขึ้นในแบ็กเอนด์ ลบบัญชีผู้ดูแลระบบใหม่ / ไม่จำเป็นทั้งหมด

แผนสำรอง

ขึ้นอยู่กับแผนสำรองและกลยุทธ์ของคุณคุณอาจนึกถึงการย้อนกลับของฐานข้อมูลทั้งหมดของคุณ

ตรวจสอบการอนุญาตของไฟล์ / โฟลเดอร์

คุณตรวจสอบการอนุญาตของไฟล์ / โฟลเดอร์หรือไม่? ไม่จำเป็นต้องรันทุกอย่างด้วย 777 หรือในฐานะผู้ใช้รูท ทั้งนี้ขึ้นอยู่กับการกำหนดค่าเซิร์ฟเวอร์ของคุณ 400/500 อาจเพียงพอ ดูเอกสารที่นี่

ตรวจสอบบันทึกเซิร์ฟเวอร์

ตรวจสอบการเข้าถึงเว็บเซิร์ฟเวอร์ / บันทึกข้อผิดพลาดเพื่อติดตามเว็บไซต์ที่เข้าถึงและ URL ที่น่าสงสัย บางทีคุณอาจพบว่า IP ที่น่าสงสัยปิดกั้นในระดับไฟร์วอลล์


1

นี่เป็นเรื่องปกติที่ฉันคิดว่า Patch มาหลังจากทีมรักษาความปลอดภัยของ Magento ค้นพบช่องโหว่หรือมีคนรายงานให้พวกเขาทราบ แต่ก่อนหน้านั้นร้านค้า Magento ยังคงเป็นสนามเด็กเล่นของแฮ็กเกอร์

ตรวจสอบไฟล์บางไฟล์ที่สามารถแก้ไขได้เช่นกัน:

  1. app / รหัส / core / Mage / XmlConnect / บล็อก / ชำระเงิน / ชำระเงิน / วิธี / Ccsave.php

  2. app / รหัส / core / Mage / ลูกค้า / ควบคุม / AccountController.php

  3. app / รหัส / core / Mage / ชำระเงิน / รุ่น / วิธี / Cc.php

  4. app / รหัส / core / Mage / ชำระเงิน / รุ่น / ประเภท / Onepage.php

นอกจากนี้คำสั่งต่อไปนี้ยังมีประโยชน์ในการค้นหามัลแวร์ / แบ็คดอร์ / เชลล์เมื่อคุณใช้ SSH ในเซิร์ฟเวอร์ของคุณ:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

ฉันใช้ข้อมูลข้างต้นจากhttps://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

อาจเป็นประโยชน์ในการตรวจสอบโดยตรง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.