Site magento hackeado 1.9.2.4

Temos um site Magento hackeado que está na atualização 1.9.2.4.

Os arquivos invadidos são:

• api.php
• indexs.php: hackscript
• postfix.php: hackscript
• skin/adminhtml/default/default/filesystem/css/loader.php
• js/editarea/plugins/charmap/jscripts/ajax.php

O hacker usou nosso servidor para devolver sites de e-mail do Gmail para encontrar endereços de e-mail existentes. No anexo do correio, ele usou outro site Magento invadido para hospedar outros arquivos.

Como um site Magento atualizado é invadido? O que podemos fazer sobre isso?

Infelizmente, sem saber o ponto de entrada inicial, é impossível dizer. Pode ser um dos seguintes, que listei em ordem de minha própria opinião de probabilidade.

1. Você foi invadido por uma extensão de terceiros.
2. Você foi invadido por outro software no servidor, como o wordpress.
3. Você foi hackeado antes de atualizar para a 1.9.2.4 e eles usaram o acesso que obtiveram antes da atualização (novo usuário administrador, ssh / ftp, shell reverso) para re-hackear o site.
4. Alguém bruto forçou uma conta de usuário para ftp / ssh.
5. Suas próprias credenciais de senha foram invadidas por um vírus / malware em sua própria máquina.
6. Há um novo vetor de ataque na natureza que ainda não foi corrigido.

Sem uma análise aprofundada de todos os logs do servidor e do código fonte, é difícil dizer.

Como um site Magento atualizado é invadido?

Um site Magento como qualquer site é vulnerável porque está conectado à Internet. Quanto mais popular, maior a chance de alguém ou alguma coisa (bot) tentar obter acesso ao seu site.

Como ele pode ser hackeado é uma pergunta carregada, mas geralmente deixar vulnerabilidades de segurança abertas por conveniência SSH / FTP e não tomar as devidas precauções causará problemas. Na maioria das vezes, esses serviços ficam com portas padrão que são facilmente pesquisadas por bots e, por sua vez, são distribuídas a outras pessoas para tentativa de acesso. A aplicação incorreta de patches de segurança no sistema (magento e sistema operacional) também pode deixar a porta aberta para uma possível violação;

Deixar de detectar tentativas de hackers geralmente ocorre porque não existe um mecanismo para notificar o proprietário do sistema sobre as tentativas. Você também precisa verificar regularmente os logs de segurança em busca de atividades suspeitas.

Dar acesso a desenvolvedores desconhecidos também poderia abrir a possibilidade deles deixarem uma maneira de obter acesso no futuro. Eu nunca dou acesso direto a qualquer pessoa que contrate, se eles precisarem de acesso, eles me orientarão, mas normalmente só permito o acesso ao meu servidor de desenvolvimento.

O que podemos fazer sobre isso.

Não há informações suficientes, mas:

• Restaurar seus arquivos de um backup
• Se nenhum backup estiver disponível, anote todos os arquivos alterados (carimbo de data / hora) e substitua por arquivos conhecidos.

Senhas

Magento:

• Verifique todos os usuários do sistema, remova os novos que não pertencem
• Alterar todas as senhas para usuários válidos
• Alterar link do painel de administração

Sistema

• Alterar todas as senhas do sistema
• Desative contas não utilizadas e / ou desnecessárias
• Desative todos os pontos de acesso não essenciais (ou seja: SSH, FTP)
• Se você precisar de SSH ou FTP, altere as portas padrão

Continue a monitorar e bloquear quaisquer bloqueios de IP suspeitos que estejam tentando acessar áreas restritas.

Se você acredita que algum dos dados e informações de seus usuários foram comprometidos, seria ético informá-los sobre a violação.

Interessante! Meu site é uma rocha. Qualquer um pode invadir meu site. Por favor, tente no meu site.

Algumas informações de credenciais são as seguintes.

www.biblesatcost.com
www.biblesatcost.com/administrator 
ssh user: biblesat
pass: CelestialSeasonings

 <host><![CDATA[localhost]]></host>
 <username><![CDATA[biblesat_bacmain]]></username>
 <password><![CDATA[Maximum3]]></password>
 <dbname><![CDATA[biblesat_bacmage]]></dbname>

Estamos ansiosos para ouvir de você.

Saudações.

O tópico é muito antigo, mas eu gostaria de mencionar algumas dicas que podem ajudá-lo a recuperar o site Magento invadido e também protegê-lo de futuras vulnerabilidades. Esses pontos são:

• Identifique e determine o hack

• Digitalize sua loja Magento com o MageReport

• Verifique o Relatório de transparência do Google

• Comparar e limpar modificações em arquivos e pastas

• Tabelas de banco de dados hackeadas Magento limpas

• Proteger o painel de administração do Magento

• Aplicar patches de segurança e atualizar a versão Magento

• Use conexões seguras

• Crie backups depois que sua loja Magento for recuperada

• Por último, mas não menos importante, use o Secure Magento Hosting

As práticas recomendadas incluem manter o Magento e suas versões de extensão atualizadas, usar nomes de usuário e senhas inteligentes e exclusivos, caminho de login de administrador personalizado e certificado SSL etc. Para saber mais sobre isso, leia a postagem do blog que escrevi . Por favor, dê uma olhada em Recupere sua loja Magento invadida .