패치를 적용한 후에도 마 젠토가 해킹 됨

패치 를 적용하기 늦었 기 때문에 Magento Community Edition 1.8.1 사이트가 해킹되기 며칠 전에 . 우리는 특정 파일이 변경된 것을 발견했습니다.

1. index.php [해커가 코드를 추가했습니다].
2. get.php
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / Autoload.php

또한 그들은 Magpleasure 파일 시스템 이라는 모듈을 설치했습니다.

그러나 패치를 적용하고 응용 프로그램 문제에서 해커가 추가 한 모든 내용을 제거한 후에는 해결되지 않습니다.

해커는 결국 3 파일을 변경

1. get.php
2. js / index.php
3. js / lib / ccard.js

우리가 놓친 것이 있습니까?

파일을 공격하여이를 방지하는 방법은 무엇입니까?

패치가 작동합니까? 어떻게 확인해야합니까?

Magento 설정이 여전히 어느 정도 손상된 것으로 보이므로 Magento + 웹 서버 설정을주의 깊게 확인해야합니다.

설치가 손상된 경우 신뢰할 수 없습니다. 가장 좋은 방법은 쇼핑하기 전에 최신 백업으로 새 호스트의 모든 파일을 새로 설치하고 새로 설정하는 것입니다.

여러 가지 이유로 이것이 불가능한 경우이 문제와 관련된 다음 사항을 확인 / 수행 할 수 있습니다.

감지 된 변경 / 해킹 된 파일과 설치된 확장자를 모두 제거

더 나은 방법 : 개발 시스템에서 최신 버전으로 깔끔한 (git) 체크 아웃을 수행하십시오. 개발자 / 스테이징 시스템이 손상되지 않은 경우가 가장 안전합니다 (로컬 또는 보호 된 환경에서 개발하는 경우에는 해당되지 않음).

생성 된 백엔드 관리자 계정 제거

특히 SUPEE-5344의 경우 백엔드에 관리자 계정이 생성됩니다. 모든 신규 / 정규직 관리자 계정을 제거하십시오.

백업 계획

백업 계획 및 전략에 따라 전체 데이터베이스의 롤백에 대해 생각할 수 있습니다.

파일 / 폴더 권한 확인

파일 / 폴더 권한을 확인 했습니까? 777을 사용하거나 루트 사용자로 모든 것을 실행할 필요는 없습니다. 서버 구성에 따라 400/500으로 충분할 수 있습니다. 여기에서 설명서를 참조 하십시오.

서버 로그 확인

액세스 한 사이트와 의심스러운 URL을 추적하려면 웹 서버 액세스 / 오류 로그를 확인하십시오. 방화벽 수준에서 의심스러운 IP를 차단할 수 있습니다.

이것은 내가 생각하는 꽤 평범한 일입니다. Magento의 보안 팀이 취약점을 발견하거나 누군가가 취약점을보고하면 패치가 제공됩니다. 그러나 그때까지 마 젠토 매장은 해커의 놀이터로 남아 있습니다.

어떤 파일이 수정되었는지 확인할 수 있습니다.

1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

2. app / code / core / Mage / Customer / controllers / AccountController.php

3. 앱 / 코드 / 코어 / 마법사 / 지불 / 모델 / 방법 /Cc.php

4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

또한 다음 명령은 서버에 SSH가 있으면 맬웨어 / 백도어 / 쉘을 찾는 데 유용합니다.

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/ 에서 위 정보를 가져 왔습니다.

직접 확인하는 것이 유용 할 수 있습니다.