Magento uygulanan yamadan sonra bile hacklendi


16

Magento topluluk sürümü 1.8.1 sitemden birkaç gün önce saldırıya uğradı, çünkü yamayı uygulamak için geç kaldık . bazı dosyaların değiştirildiğini gördük

  1. index.php [bilgisayar korsanları bazı kodlar ekledi].
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / autoload.php

Ayrıca Magpleasure dosya sistemi adı verilen bir modül kurdular

Ancak yamayı uyguladıktan ve hackerların uygulama sorunumuza ekledikleri tüm şeyleri kaldırdıktan sonra çözülmedi.

bilgisayar korsanları sonunda 3 dosyayı değiştiriyor

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

Eksik olduğumuz bir şey var mı?

Dosyalarımıza saldırarak onları nasıl önleyebilirim?

Yama çalışıyor mu yoksa çalışmıyor mu? Bunu nasıl kontrol etmeliyim?


önce güvenlik açığının barındırma tarafında olup olmadığını kontrol edin (bunu nasıl yapacağımı bilmiyorum). Belki de Magento'dan başka yollarla hacklendiniz.
Marius

Evet, hosting ekibine sorarak kontrol ettik. sadece ssh iznine sahip olduğumuzu bildirdiler, tüm şifreyi de değiştirdik. ama faydası yok.
Charlie

1
Aynı alanda başka uygulamalar var mı? WordPress gibi bir şey mi? Belki bunlar da tehlikeye girmiş veya bu uygulamalardan geçmiştir?
7ochem

@ 7ochem, Hayır, başka uygulama yok
Charlie

1
Anna'nın önerileri yerinde ve değiştirilen en yaygın dosyalardan birkaçını belirlediniz. Github.com/comitdevelopers/magento-security-toolkit'teki iyileştirme çalışmalarımızda ortaya çıkardığımız her şeyi belgeledik - lütfen bir çekme isteği göndererek ve göndererek projeye kendi zor kazanılmış bilgilerinizi eklemeyi düşünün.
Bryan 'BJ' Hoffpauir Jr.

Yanıtlar:


16

Magento kurulumunuzun bir noktada hala tehlikeye girdiği anlaşılıyor, bu nedenle Magento + Webserver ayarlarını dikkatlice kontrol etmelisiniz.

Güvenliği ihlal edilmişse kurulumunuza güvenemezsiniz. Gitmenin nihai yolu, alışverişten ödün vermeden önce yeni bir ana bilgisayardaki tüm dosyaların yeni ve temiz bir kurulumudur.

Bu çeşitli nedenlerden dolayı mümkün değilse, bu sorunla ilgili şu şeyleri kontrol edebilir / yapabilirsiniz:

Algılanan tüm değiştirilmiş / saldırıya uğramış dosyaları ve yüklü uzantıları kaldırın

Daha da iyisi: En son sürüme sahip geliştirme sisteminizden temiz (git) bir ödeme yapın. Bu, geliştirici / evreleme sisteminiz de tehlikeye atılmadığı sürece en güvenli olanı olacaktır (yerel olarak veya korunan bir ortamda gelişirseniz durum böyle değildir).

Oluşturulan arka uç yönetici hesaplarını kaldır

Özellikle SUPEE-5344 için, arka uçta oluşturulan bir yönetici hesabı da olacaktır. Tüm yeni / gereksiz yönetici hesaplarını kaldırın.

Yedek plan

Yedekleme planınıza ve stratejinize bağlı olarak, veritabanınızın tamamını geri almayı düşünebilirsiniz.

Dosya / klasör izinlerini kontrol edin

Dosya / klasör izinlerinizi kontrol ettiniz mi? Her şeyi 777 ile veya kök kullanıcı olarak çalıştırmaya gerek yoktur. Sunucu yapılandırmanıza bağlı olarak 400/500 yeterli olabilir. Buradaki belgelere bakın .

Sunucu günlüklerini kontrol edin

Erişilen siteleri ve şüpheli URL'leri izlemek için web sunucularınızın erişim / hata günlüğünü kontrol edin. Belki güvenlik duvarı düzeyinde engellenecek şüpheli IP'ler bulursunuz.


1

Sanırım bu oldukça olağan. Yamalar, Magento'nun güvenlik ekibinin bu güvenlik açığını keşfetmesinden veya birisi tarafından rapor edilmesinden sonra gelir. Ancak o zamana kadar Magento mağazaları bir hacker oyun alanı olmaya devam ediyor.

Hangisinin de değiştirilebileceğini kontrol etmek için birkaç dosya:

  1. Uygulama / kod / çekirdek / Mage / XmlConnect / Blok / Ödeme / ödeme / yöntem / Ccsave.php

  2. Uygulama / kod / çekirdek / Mage / Müşteri / kontrol / AccountController.php

  3. Uygulama / kod / çekirdek / Mage / ödeme / Modeli / yöntem / Cc.php

  4. Uygulama / kod / çekirdek / Mage / Ödeme / Model / Tip / Onepage.php

Ayrıca, aşağıdaki komut sunucunuzda SSH olduktan sonra kötü amaçlı yazılım / arka kapı / kabuk bulmada kullanışlıdır:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Yukarıdaki bilgileri https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/ adresinden aldım.

Doğrudan kontrol etmek yararlı olabilir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.