Magento piraté même après l'application du patch

16

Quelques jours avant le piratage de mon site Magento Community Edition 1.8.1, car nous sommes en retard pour appliquer le correctif . nous avons constaté que certains fichiers ont été modifiés ce sont

  1. index.php [les pirates informatiques y ont ajouté du code].
  2. get.php
  3. js / index.php
  4. js / lib / ccard.js
  5. lib / Varien / Autoload.php

Et ils ont également installé un module appelé système de fichiers Magpleasure

Mais après avoir appliqué le correctif et supprimé tout ce que les pirates ont ajouté dans notre problème d'application n'est pas résolu.

les pirates ont finalement changé 3 fichiers

  1. get.php
  2. js / index.php
  3. js / lib / ccard.js

Y a-t-il quelque chose qui nous manque?

Comment les empêcher en attaquant nos fichiers?

Le patch fonctionne-t-il ou non? Comment dois-je vérifier cela?

Charlie
la source
vérifiez d'abord si la vulnérabilité n'est pas du côté de l'hébergement (je ne sais pas comment faire). Peut-être que vous avez été piraté par d'autres moyens que Magento.
Marius
Oui, nous l'avons vérifié en demandant à l'équipe d'hébergement. ils nous ont informés que nous en avions la permission ssh, nous avons aussi changé tout le mot de passe. mais inutile.
Charlie
1
Existe-t-il d'autres applications sur le même domaine? Comme WordPress ou quelque chose? Peut-être que ceux-ci ont également été compromis ou qu'ils sont entrés par le biais de ces applications?
7ochem
@ 7ochem, Non, il n'y a pas d'autres applications
Charlie
1
Les suggestions d'Anna sont parfaites et vous semblez avoir identifié quelques-uns des fichiers les plus courants modifiés. Nous avons documenté toutes celles que nous avons découvertes dans nos efforts de correction sur github.com/comitdevelopers/magento-security-toolkit - veuillez envisager d'ajouter vos propres connaissances durement acquises au projet en créant et en soumettant une demande de retrait.
Bryan 'BJ' Hoffpauir Jr.3 juil.15

Réponses:

16

Il semble que votre configuration Magento soit toujours compromise à un moment donné, vous devez donc vérifier attentivement les paramètres de Magento + Webserver.

Vous ne pouvez pas faire confiance à votre installation si elle a été compromise. La meilleure façon de procéder serait une nouvelle et propre configuration de tous les fichiers sur un nouvel hôte avec la dernière sauvegarde avant que votre boutique ne soit compromise.

Si cela n'est pas possible pour diverses raisons, vous pouvez vérifier / faire ces choses liées à ce problème:

Supprimer tous les fichiers modifiés / piratés détectés ainsi que les extensions installées

Encore mieux: effectuez une vérification propre (git) de votre système de développement avec la dernière version. Ce sera le plus sûr à moins que votre système de développement / mise en scène n'ait également été compromis (ce qui n'est pas le cas si vous développez localement ou dans un environnement protégé).

Supprimer les comptes d'administrateur créés

Surtout pour SUPEE-5344, il y aura également un compte administrateur créé dans le backend. Supprimez tous les comptes d'administrateur nouveaux / inutiles.

Plan de sauvegarde

En fonction de votre plan et de votre stratégie de sauvegarde, vous pourriez peut-être penser à une restauration de votre base de données complète.

Vérifier les autorisations de fichier / dossier

Avez-vous vérifié vos autorisations de fichier / dossier? Il n'est pas nécessaire de tout exécuter avec 777 ou en tant qu'utilisateur root. Selon la configuration de votre serveur, 400/500 peut suffire. Voir la documentation ici.

Vérifier les journaux du serveur

Vérifiez le journal d'accès / d'erreur de vos serveurs Web pour suivre les sites consultés et les URL suspectes. Peut-être que vous trouvez des adresses IP suspectes à bloquer au niveau du pare-feu.

Anna Völkl
la source
1

C'est assez habituel je pense. Les correctifs surviennent après que l'équipe de sécurité de Magento a découvert la vulnérabilité ou que quelqu'un la leur ait signalée. Mais jusque-là, les magasins Magento restent un terrain de jeu pour les hackers.

Quelques fichiers à vérifier qui auraient aussi pu être modifiés:

  1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

  2. app / code / core / Mage / Client / contrôleurs / AccountController.php

  3. app / code / core / Mage / Payment / Model / Method / Cc.php

  4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

En outre, la commande suivante est pratique pour trouver des logiciels malveillants / portes dérobées / shell une fois que vous êtes SSH sur votre serveur:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

J'ai pris les informations ci-dessus de https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

Pourrait être utile de vérifier directement.

Shawn
la source