Magentoはパッチを適用した後でもハッキングされました

Magentoコミュニティエディション1.8.1サイトがハッキングされる数日前に、パッチの適用が遅れているためです。特定のファイルが変更されていることがわかりました

1. index.php [ハッカーがコードを追加しました]。
2. get.php
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / Autoload.php

また、Magpleasureファイルシステムと呼ばれるモジュールもインストールしました。

しかし、パッチを適用し、ハッカーがアプリケーションの問題に追加したものをすべて削除した後は解決されません。

最終的に3つのファイルを変更するハッカー

1. get.php
2. js / index.php
3. js / lib / ccard.js

不足しているものはありますか？

ファイルを攻撃してそれらを防ぐ方法は？

パッチは機能していますか？どうすれば確認できますか？

Magentoのセットアップは、ある時点でまだ侵害されているようですので、Magento + Webserverの設定を注意深く確認する必要があります。

侵害された場合、インストールを信頼することはできません。究極の方法は、買い物が危うくなる前に、最新のバックアップを使用して、新しいホスト上のすべてのファイルを新しくクリーンにセットアップすることです。

さまざまな理由でこれが不可能な場合は、この問題に関連する次のことを確認または実行してください。

検出されたすべての変更/ハッキングされたファイルとインストールされている拡張機能を削除します

さらに良い：最新バージョンで開発システムからクリーン（git）チェックアウトを行います。開発/ステージングシステムも侵害されていない限り、これが最も安全です（ローカルまたは保護された環境で開発する場合はそうではありません）。

作成されたバックエンド管理者アカウントを削除する

特にSUPEE-5344の場合、バックエンドで管理者アカウントも作成されます。すべての新規/不必要な管理者アカウントを削除します。

代替案

バックアップ計画と戦略に応じて、データベース全体のロールバックを検討することもできます。

ファイル/フォルダーのアクセス許可を確認する

ファイル/フォルダーのアクセス許可を確認しましたか？すべてを777で実行したり、rootユーザーとして実行したりする必要はありません。サーバーの構成によっては、400/500で十分な場合があります。ドキュメントを参照ご覧ください。

サーバーログを確認する

Webサーバーのアクセス/エラーログをチェックして、アクセスしたサイトと疑わしいURLを追跡します。ファイアウォールレベルでブロックする疑わしいIPを見つけた可能性があります。

これはかなり普通だと思います。パッチは、Magentoのセキュリティチームが脆弱性を発見したか、誰かがそれを報告した後に届きます。しかし、それまでMagentoストアはハッカーの遊び場のままでした。

修正された可能性のあるいくつかのファイルも確認します

1. app / code / core / Mage / XmlConnect / Block / Checkout / Payment / Method / Ccsave.php

2. app / code / core / Mage / Customer / controllers / AccountController.php

3. app / code / core / Mage / Payment / Model / Method / Cc.php

4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

また、次のコマンドは、サーバーでSSHを実行した後、マルウェア/バックドア/シェルを見つけるのに便利です。

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

上記の情報を https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/

直接確認すると便利な場合があります。