Magento uygulanan yamadan sonra bile hacklendi

Magento topluluk sürümü 1.8.1 sitemden birkaç gün önce saldırıya uğradı, çünkü yamayı uygulamak için geç kaldık . bazı dosyaların değiştirildiğini gördük

1. index.php [bilgisayar korsanları bazı kodlar ekledi].
2. get.php
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / autoload.php

Ayrıca Magpleasure dosya sistemi adı verilen bir modül kurdular

Ancak yamayı uyguladıktan ve hackerların uygulama sorunumuza ekledikleri tüm şeyleri kaldırdıktan sonra çözülmedi.

bilgisayar korsanları sonunda 3 dosyayı değiştiriyor

1. get.php
2. js / index.php
3. js / lib / ccard.js

Eksik olduğumuz bir şey var mı?

Dosyalarımıza saldırarak onları nasıl önleyebilirim?

Yama çalışıyor mu yoksa çalışmıyor mu? Bunu nasıl kontrol etmeliyim?

Magento kurulumunuzun bir noktada hala tehlikeye girdiği anlaşılıyor, bu nedenle Magento + Webserver ayarlarını dikkatlice kontrol etmelisiniz.

Güvenliği ihlal edilmişse kurulumunuza güvenemezsiniz. Gitmenin nihai yolu, alışverişten ödün vermeden önce yeni bir ana bilgisayardaki tüm dosyaların yeni ve temiz bir kurulumudur.

Bu çeşitli nedenlerden dolayı mümkün değilse, bu sorunla ilgili şu şeyleri kontrol edebilir / yapabilirsiniz:

Algılanan tüm değiştirilmiş / saldırıya uğramış dosyaları ve yüklü uzantıları kaldırın

Daha da iyisi: En son sürüme sahip geliştirme sisteminizden temiz (git) bir ödeme yapın. Bu, geliştirici / evreleme sisteminiz de tehlikeye atılmadığı sürece en güvenli olanı olacaktır (yerel olarak veya korunan bir ortamda gelişirseniz durum böyle değildir).

Oluşturulan arka uç yönetici hesaplarını kaldır

Özellikle SUPEE-5344 için, arka uçta oluşturulan bir yönetici hesabı da olacaktır. Tüm yeni / gereksiz yönetici hesaplarını kaldırın.

Yedek plan

Yedekleme planınıza ve stratejinize bağlı olarak, veritabanınızın tamamını geri almayı düşünebilirsiniz.

Dosya / klasör izinlerini kontrol edin

Dosya / klasör izinlerinizi kontrol ettiniz mi? Her şeyi 777 ile veya kök kullanıcı olarak çalıştırmaya gerek yoktur. Sunucu yapılandırmanıza bağlı olarak 400/500 yeterli olabilir. Buradaki belgelere bakın .

Sunucu günlüklerini kontrol edin

Erişilen siteleri ve şüpheli URL'leri izlemek için web sunucularınızın erişim / hata günlüğünü kontrol edin. Belki güvenlik duvarı düzeyinde engellenecek şüpheli IP'ler bulursunuz.

Sanırım bu oldukça olağan. Yamalar, Magento'nun güvenlik ekibinin bu güvenlik açığını keşfetmesinden veya birisi tarafından rapor edilmesinden sonra gelir. Ancak o zamana kadar Magento mağazaları bir hacker oyun alanı olmaya devam ediyor.

Hangisinin de değiştirilebileceğini kontrol etmek için birkaç dosya:

1. Uygulama / kod / çekirdek / Mage / XmlConnect / Blok / Ödeme / ödeme / yöntem / Ccsave.php

2. Uygulama / kod / çekirdek / Mage / Müşteri / kontrol / AccountController.php

3. Uygulama / kod / çekirdek / Mage / ödeme / Modeli / yöntem / Cc.php

4. Uygulama / kod / çekirdek / Mage / Ödeme / Model / Tip / Onepage.php

Ayrıca, aşağıdaki komut sunucunuzda SSH olduktan sonra kötü amaçlı yazılım / arka kapı / kabuk bulmada kullanışlıdır:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Yukarıdaki bilgileri https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/ adresinden aldım.

Doğrudan kontrol etmek yararlı olabilir.