मैगेंटो को पैच लगाने के बाद भी हैक किया गया

मेरे मैगेंटो समुदाय संस्करण 1.8.1 साइट से कुछ दिन पहले हैक किया गया है, क्योंकि हमें पैच लगाने में देर हो गई है । हमने पाया कि कुछ फाइलें बदली गई थीं

1. index.php [हैकर्स ने इसमें कुछ कोड जोड़े]।
2. get.php
3. जे एस / index.php
4. जे एस / lib / ccard.js
5. lib / Varien / Autoload.php

और उन्होंने मैगप्लस फाइल सिस्टम नामक मॉड्यूल भी स्थापित किया

लेकिन पैच लगाने के बाद, और हमारी एप्लिकेशन समस्या में जोड़े गए सभी सामानों को हटाने से समस्या हल नहीं होती है।

हैकर्स अंततः 3 फ़ाइलों को बदल रहे हैं

1. get.php
2. जे एस / index.php
3. जे एस / lib / ccard.js

क्या ऐसा कुछ है जो हम याद कर रहे हैं?

हमारी फाइलों पर हमला करके उन्हें कैसे रोका जाए?

पैच काम कर रहा है या नहीं? मुझे कैसे जांच करनी चाहिए?

ऐसा लगता है कि आपका Magento सेटअप अभी भी कुछ बिंदु पर समझौता किया हुआ है, इसलिए आपको Magento + Webserver सेटिंग्स को ध्यान से देखना चाहिए।

अगर आपको समझौता करना पड़ा तो आप अपनी स्थापना पर भरोसा नहीं कर सकते। जाने का अंतिम तरीका एक नया होस्ट पर सभी फ़ाइलों का एक नया और साफ सेटअप होगा, जिसकी दुकान पर समझौता होने से पहले आप नवीनतम बैकअप के साथ होस्ट करेंगे।

यदि यह विभिन्न कारणों से संभव नहीं है, तो आप इस मुद्दे से संबंधित इन चीजों की जांच / कर सकते हैं:

सभी ज्ञात परिवर्तित / हैक की गई फ़ाइलों को हटा दें और स्थापित एक्सटेंशन

इससे भी बेहतर: अपने विकास प्रणाली से अंतिम संस्करण के साथ एक साफ (गिट) चेकआउट करें। यह तब तक सबसे सुरक्षित होगा जब तक कि आपके dev / staging सिस्टम से समझौता नहीं किया गया है (जो कि स्थानीय या संरक्षित वातावरण में विकसित होने पर ऐसा नहीं है)।

निर्मित बैकएंड व्यवस्थापक खाते निकालें

विशेष रूप से SUPEE-5344 के लिए, बैकएंड में एक व्यवस्थापक खाता भी बनाया जाएगा। सभी नए / अनावश्यक पंजीकरण खातों को हटा दें।

बैकअप योजना

आपकी बैकअप योजना और रणनीति के आधार पर, आप शायद अपने संपूर्ण डेटाबेस के रोलबैक के बारे में सोच सकते हैं।

फ़ाइल / फ़ोल्डर अनुमतियाँ जांचें

क्या आपने अपनी फ़ाइल / फ़ोल्डर अनुमतियों की जांच की? 777 के साथ या रूट उपयोगकर्ता के रूप में सब कुछ चलाने की आवश्यकता नहीं है। आपके सर्वर कॉन्फ़िगरेशन के आधार पर 400/500 पर्याप्त हो सकता है। यहाँ प्रलेखन देखें ।

सर्वर लॉग की जाँच करें

एक्सेस की गई साइटों और संदिग्ध URL का पता लगाने के लिए अपने webservers एक्सेस / एरर लॉग की जाँच करें। हो सकता है कि आपको फ़ायरवॉल स्तर पर ब्लॉक करने के लिए संदिग्ध IP मिल जाए।

मुझे लगता है कि यह बहुत सामान्य है। मैगेंटो की सुरक्षा टीम को भेद्यता का पता चलने के बाद पैच आते हैं या कोई उन्हें इसकी सूचना देता है। लेकिन तब तक मैगेंटो स्टोर्स हैकर्स के खेल का मैदान बना हुआ है।

जांच के लिए कुछ फाइलें जिन्हें संशोधित किया जा सकता था:

1. एप्लिकेशन / कोड / कोर / दाना / XmlConnect / ब्लॉक / चेकआउट / भुगतान / विधि / Ccsave.php

2. एप्लिकेशन / कोड / कोर / दाना / ग्राहक / नियंत्रक / AccountController.php

3. एप्लिकेशन / कोड / कोर / दाना / भुगतान / मॉडल / विधि / Cc.php

4. एप्लिकेशन / कोड / कोर / दाना / चेकआउट / मॉडल / प्रकार / Onepage.php

एक बार जब आप SSH के सर्वर में हैं, तब भी, मालवेयर / बैकडोर / शेल खोजने में निम्न कमांड काम आती है:

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

मैंने उपरोक्त जानकारी https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/ से ली।

सीधे जाँच के लिए उपयोगी हो सकता है।