จากคำอธิบายของ OP เป็นการยากที่จะกำหนดสถานะปัจจุบันของระบบเกี่ยวกับ Magento ที่ถูกบุกรุก น่าเสียดายที่ฉันกล่าวถึงด้านล่างการติดตั้งการแก้ไขจะไม่ช่วยแก้ปัญหาของคุณหากคุณถูกบุกรุก พวกเขาหยุดการโจมตีในอนาคตเท่านั้นพวกเขาไม่ได้ทำอะไรเพื่อแก้ไขระบบที่มีการโจมตีอยู่แล้ว
เราได้จัดทำเอกสารการวิจัยของเราเพื่อให้รายการของลายเซ็นการโจมตีที่รู้จักเพื่อให้คุณสามารถตรวจสอบระบบของคุณเพื่อหาหลักฐานของพวกเขาและตอบสนองตามนั้น โปรดทราบว่าเราไม่เคยเห็นการประนีประนอมสองประการที่เหมือนกันดังนั้นมีโอกาสระบบของคุณอาจแตกต่างกันเล็กน้อย - หากคุณค้นพบอะไรในระบบของคุณที่เรายังไม่มีเอกสารโปรดแชร์สิ่งนั้นกับเรา เราสามารถอัปเดตคำแนะนำการโจมตีหรือเพียงแค่แยกอัปเดตและส่งคำขอการดึง
เรากำลังดำเนินการเกี่ยวกับชุดเครื่องมือเพื่อทำการแก้ไขรายการเหล่านี้โดยอัตโนมัติ แต่อาจใช้เวลาหนึ่งหรือสองสัปดาห์จนกว่ามันจะพร้อมสำหรับการเผยแพร่ ในระหว่างนี้เรากำลังแบ่งปันความรู้ที่เราได้รับจากการทำงานผ่านการประนีประนอมกับทุกคนในชุมชนเพื่อให้มั่นใจว่าทุกคนปลอดภัยเท่าที่ควร
ฉันกำลังรวมขั้นตอนการวิเคราะห์ความปลอดภัยและการตอบกลับ 3 ขั้นตอนด้านล่างที่เราได้ทำซ้ำแล้วซ้ำอีกเพื่อให้ได้ผลลัพธ์ที่สอดคล้องกัน สมมติฐานหลักที่คุณจะต้องทำก็คือคุณไม่สามารถรู้ได้ว่าอะไรหรือไม่ได้ถูกบุกรุกจนกว่าคุณจะกระจายไฟล์ในระบบของคุณกับซอร์สโค้ดเริ่มต้นที่ได้รับจาก Magento หรือสำเนาที่คุณทำไว้ใน ที่เก็บข้อมูล (Git / Mercurial / SVN) คุณควรสันนิษฐานว่าฐานข้อมูลและการเข้าสู่ระบบของคุณถูกบุกรุกและไปเปลี่ยนแปลงทั้งหมด
บทวิจารณ์ที่สำคัญ:การติดตั้งแพตช์จาก Magento จะไม่ช่วยคุณหากคุณถูกบุกรุกแล้ว ที่ดีที่สุดมันจะหยุดการประนีประนอมเพิ่มเติมของประเภทที่รู้จัก แต่ถ้าคุณถูกโจมตีอยู่แล้วคุณจะต้องติดตั้งแพทช์และแก้ไขระบบของคุณในขณะที่เราเน้นด้านล่าง
ขั้นตอนที่ 1:ระบุขอบเขตของการประนีประนอมของคุณ แต่ละรายการที่ฉันแสดงด้านล่างเป็นลายเซ็นที่เราค้นพบในเว็บไซต์ Magento ที่เกี่ยวข้องกับการประกาศช่องโหว่ของ SUPEE-5344 และ SUPEE-5994 โดยเฉพาะ หลังจากที่คุณติดตั้งแพตช์ล่าสุด ( และอื่น ๆ ที่คุณอาจต้องติดตั้งจาก Magento ) คุณจะต้องผ่านแต่ละอันและตรวจสอบเพื่อดูว่าคุณพบหลักฐานของลายเซ็นในระบบของคุณหรือไม่ หลายคนเพียงพอที่จะอนุญาตให้ผู้โจมตีเข้าสู่ระบบของคุณอีกครั้งหลังจากที่คุณทำการแก้ไขดังนั้นคุณจะต้องขยันและให้แน่ใจว่าคุณไม่ข้ามอะไรหรือไม่สามารถแก้ไขได้
นอกจากนี้คุณยังสามารถใช้เครื่องสแกนออนไลน์จาก Magentoได้ แต่โดยขนาดใหญ่เครื่องมือนี้จะบอกคุณว่าคุณได้ติดตั้งโปรแกรมแก้ไขและป้องกันการบุกรุกในอนาคตหรือไม่ หากคุณถูกโจมตีแล้วสิ่งเหล่านี้จะไม่สแกนหาประตูหลังหรือการโจมตีอื่น ๆ ที่อาจถูกติดตั้งเมื่อคุณถูกโจมตีครั้งแรก อย่างน้อยไม่มีสิ่งใดที่เราทดสอบพบลายเซ็นที่เราค้นพบ การป้องกันในเชิงลึกเป็นวิธีการดำเนินการซึ่งหมายถึงการสแกนและตรวจสอบหลายรายการจากเครื่องมือและมุมมองที่หลากหลายหากคุณต้องการมั่นใจในผลลัพธ์
ขั้นตอนที่ 2:ลบสิ่งที่คุณต้องและแทนที่สิ่งที่คุณสามารถ: ใช้ไฟล์ต้นฉบับจากพื้นที่เก็บข้อมูลของคุณหรือไฟล์ต้นฉบับ Magento หากคุณไม่ได้ใช้เวอร์ชันล่าสุดคุณยังสามารถใช้หน้าดาวน์โหลด Magento เพื่อดึงแหล่งที่มาของเวอร์ชั่นเก่าจากเว็บไซต์ของพวกเขา
ขั้นตอนที่ 3: RESET Credentials: สินค้าคงคลังทุกครั้งที่ใช้ชื่อเข้าสู่ระบบและรหัสผ่านที่เกี่ยวข้องกับการปรับใช้ของคุณจากระยะไกลและรีเซ็ตทั้งหมดรวมถึง
- การเข้าสู่ระบบบัญชีผู้ค้าและคีย์ API
- การเข้าสู่ระบบของผู้ดูแลระบบ Magento & รหัสผ่าน
- ข้อมูลบัญชีอีเมล
- ระบบตรวจสอบสิทธิ์ LDAP / AD / หลัก
- รหัสผ่าน
- ทุกอย่าง
- คุณสามารถมั่นใจได้อย่างสมเหตุสมผลว่าขั้นตอนก่อนหน้านี้จะช่วยให้คุณกำจัดความผิดพลาดจากการติดเชื้อ แต่คุณไม่สามารถรู้ได้ว่ารหัสผ่านถูกขโมยหรือกุญแจเข้าสู่ระบบหรือเป็นเหยื่อของการโจมตีอื่น ๆ ดังนั้นการตั้งค่าข้อมูลรับรองที่เกี่ยวข้องทั้งหมด พยายามแก้ไขระบบที่ถูกบุกรุก
คู่มือยาวเกินไปที่จะโพสต์ในการตอบกลับนี้ แต่สามารถดาวน์โหลดรายการลายเซ็นได้ทันทีที่ที่เก็บMagento Security Toolkit GitHub ของเรา