Magento зламали навіть після накладеного виправлення

За кілька днів до мого сайту спільноти Magento видання 1.8.1 зламується, тому що ми запізнюємося застосувати виправлення . ми виявили, що певні файли були змінені

1. index.php [хакери додали до нього якийсь код].
2. get.php
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / Autoload.php

А також вони встановили модуль під назвою файлова система Magpleasure

Але після застосування патчу та видалення всіх речей, які хакери додали в нашій програмі, проблема не вирішена.

з часом хакери змінюють 3 файли

1. get.php
2. js / index.php
3. js / lib / ccard.js

Чи є щось, чого нам не вистачає?

Як запобігти їх нападу на наші файли?

Працює патч чи ні? Як я повинен це перевірити?

Здається, що налаштування Magento все ще порушена в певний момент, тому слід уважно перевірити налаштування Magento + Webserver.

Ви не можете довіряти вашій установці, якщо вона була порушена. Кінцевим способом пройти буде нова і чиста налаштування всіх файлів на новому хості з останньою резервною копією, перш ніж ваш магазин буде порушений.

Якщо це неможливо через різні причини, ви можете перевірити / зробити наступні речі, пов’язані з цим питанням:

Видаліть усі виявлені змінені / зламані файли плюс встановлені розширення

Ще краще: зробіть чистий (git) замовлення у вашій системі розробки з найновішою версією. Це буде найбезпечніше, якщо ваша система розробок / постановок також не була порушена (що не відбувається, якщо ви розвиваєтесь на місцях або в захищеному середовищі).

Видаліть створені облікові записи адміністратора

Спеціально для SUPEE-5344, також буде створений обліковий запис адміністратора, створений у бекенді. Видаліть усі нові / непотрібні облікові записи адміністратора.

Резервний план

Залежно від плану та стратегії резервного копіювання, ви можете подумати про відкат вашої повної бази даних.

Перевірте дозволи на файли / папки

Ви перевірили дозволи для файлів / папок? Не потрібно запускати все з 777 або як root користувач. Залежно від конфігурації вашого сервера 400/500 може бути достатньо. Дивіться документацію тут.

Перевірте журнали серверів

Перевірте журнал доступу / помилок веб-серверів, щоб простежити доступ до сайтів та підозрілих URL-адрес. Можливо, ви виявите підозрілі IP-адреси для блокування на рівні брандмауера.

Думаю, це досить звично. Патчі з'являються після того, як команда безпеки Magento виявить вразливість або хтось їм повідомляє про це. Але до цього часу магазини Magento залишаються майданчиком хакерів.

Кілька файлів, щоб перевірити, які також могли бути змінені:

1. app / code / core / Mage / XmlConnect / Блок / Замовлення / Оплата / Метод / Ccsave.php

2. додаток / код / ​​core / Mage / Клієнт / контролери / AccountController.php

3. app / code / core / Mage / Payment / Модель / Метод / Cc.php

4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

Крім того, наступна команда стане в нагоді в пошуку шкідливих програм / backdoors / shell, коли ви SSH на своєму сервері:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

Я взяв вищевказану інформацію з https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Може бути корисно перевірити безпосередньо.