Виходячи з опису ОП, важко визначити поточний стан системи щодо компрометованого Магенто. На жаль, як я обговорюю нижче, встановлення виправлень не вирішить вашу проблему, якщо ви вже скомпрометовані. Вони лише зупиняють майбутні атаки, вони НЕ РОБУЮТЬ НІЧОГО, щоб виправити СИСТЕМУ, ЩО ВЖЕ СКЛАДЕНО.
Ми документально підтвердили наші дослідження список відомих підписів нападу, щоб ви могли перевірити ваші системи на предмет їх підтвердження та відповісти відповідно. Майте на увазі, що ми ніколи не бачили двох однакових компромісів, тому є ймовірність, що ваша конкретна система може бути дещо іншою - якщо ви виявите що-небудь у вашій системі, що ми ще не документально підтвердили, будь ласка, поділіться цим з нами так ми можемо оновити посібник з підписом атаки або просто розкрутити, оновити та подати запит на витяг.
Ми працюємо над набором інструментів для автоматизації виправлення цього пункту, але це може пройти тиждень-два, поки він не буде готовий до розповсюдження. А поки що ми ділимося знаннями, які ми здобули, працюючи через ці компроміси, з усіма в громаді, прагнучи зробити так, щоб усі були настільки ж безпечними, як можна очікувати.
Нижче я включаю 3-кроковий процес безпеки та реакції безпеки, який ми працювали знову і знову, щоб отримати стійкі результати. Основне припущення, яке вам доведеться зробити, - це те, що ви не можете знати, що було або не було порушено, доки ви не почнете відрізняти файли у вашій системі від вихідного коду за замовчуванням, наданого Magento, або копії, зробленої вами (Сховище Git / Mercurial / SVN). ВИ ПОТРІБИТЕ, що ваша база даних та логіни були порушені, і перейдіть на зміну всіх.
КРИТИЧНА ПРИМІТКА: Встановлення патчів від Magento НЕ допоможе вам, якщо ви вже були піддані компрометації. У кращому випадку це зупинить ДОПОМОГА компроміси відомих типів, але якщо ви вже скомпрометовані, вам доведеться ВІДНОВИТИ встановити виправлення та переправити вашу систему, як ми виділимо нижче.
Фаза 1: Визначте сферу вашого компромісу. Кожен з перелічених нижче пунктів - це підписи, які ми виявили на компрометованих сайтах Magento, зокрема стосовно оголошень про вразливість SUPEE-5344 та SUPEE-5994. Після того, як ви встановили останні патчі ( та будь-які інші, які вам можуть знадобитися встановити з Magento ), вам потрібно пройти кожен з них і перевірити, чи знайшли у вашій системі якісь докази підпису. Багато з них достатньо самі, щоб зловмисник міг повторно увійти до вашої системи після виправлення її, тому вам доведеться бути старанними і переконайтесь, що ви нічого не пропустите або не зможете переправити його.
Ви також можете скористатись онлайн-сканером від Magento , але за великим рахунком вони лише підкажуть, чи встановили ви патчі та запобігли майбутнім компромісам. Якщо ви вже піддалися компрометові, вони не будуть шукати інші задні двері або атаки, які могли бути встановлені під час першого нападу. принаймні жоден із тих, кого ми тестували, не знайшов підписів, які ми виявили. Захист у глибині - це шлях, який означає багаторазове сканування та огляд з різних інструментів та перспектив, якщо ви хочете бути впевненими в результатах.
Фаза 2: Видаліть все, що вам потрібно, і замініть все, що ви можете: використовувати оригінальні файли зі свого сховища або вихідні файли Magento. Якщо ви не використовуєте одну з останніх версій, ви все одно можете скористатися сторінкою завантаження Magento, щоб забрати джерела старих версій зі свого сайту.
Фаза 3: RESET Акредитиви: Інвентаризуйте кожне використання імені для входу та пароля, віддалено пов’язаних з вашим розгортанням, і скиньте їх усі, включаючи
- Вхід до облікового запису і ключі API
- Логін та паролі адміністратора Magento
- Вхідні дані облікових записів електронної пошти
- LDAP / AD / Первинна система аутентифікації
- Паролі
- ВСЕ
- Ви можете бути впевнені, що попередні кроки допоможуть вам очистити заражені файли, але ви не можете знати, чи були обнюхані паролі або введено ключ або жертва якоїсь іншої атаки, тому скидання всіх пов’язаних облікових даних є найбезпечнішим варіантом, якщо ви збираєтесь спроба усунути зіпсовану систему.
Посібник занадто довгий для публікації у цій відповіді, але список підписів можна негайно завантажити в нашому сховищі Magento Security Toolkit GitHub .