Como posso verificar se o site está infectado por SUPEE-5344 e SUPEE-1533
-
12-12-2019 - |
Pergunta
já apliquei os dois patches SUPEE-5344 e SUPEE-1533, mas como posso verificar ou saber se meu site e meus arquivos ainda não estão infectados?
Desde já, obrigado.
Solução
Eu também recomendo usar Testador de bugs Magento Shoplift v1.0 para verificar se o seu site está vulnerável.(Como mencionado por outros)
Eu acrescentaria a isso um truque bacana para encontrar arquivos modificados recentemente:
find . -type f \( -iname \*.php -o -iname \*.js \) -mtime -14 -exec stat -c "%n %y" {} \;
O comando acima encontrará todos os arquivos PHP e JavaScript que foram modificados nas últimas duas semanas.
(Fonte: Como encontrar arquivos modificados recentemente)
Muitas vezes, os sites comprometidos terão arquivos críticos modificados para capturar dados de cartão de crédito e outras informações confidenciais.
Outras dicas
Você pode verificar seu site é vulnerável ao bug acima em https://shoplift.byte.nl .
Você pode confirmar se seu site foi corrigido com sucesso diretamente no site a seguir. http://magento.com/security-patch
Enter your store url & change admin path and then click on Test button.
E você também pode verificar a lista corrigida com sucesso em sua pasta app/etc/
Para mais informações acesse este post https://magento.stackexchange.com/a/64082/24348
Não há maneira fácil de verificar se alguma coisa mudou em seu site.Eu aprendi com isso, para colocar todo o magento no meu git, não apenas os arquivos não principais.
Se você tiver tudo no Git, a git status
mostra todas as alterações.Se você ainda não usar nenhum controle de versão, é hora de alterar isso e diff todos os seus arquivos novamente, os originais baixaram frescos de Magento.
Existem três coisas que você pode verificar rapidamente:
- .
- Verificar lista de usuários administrador.Veja se há novos registros.Eu vi mais de dezenas de sites comprometidos e todos eles têm novos usuários, principalmente usando endereços de e-mail magent.com e example.com.Por favor, note que uma vez dentro dos hackers pode alterar senhas de usuário, instalar extensões e assim por diante.Eventualmente, eles têm outras maneiras de entrar em seu sistema e por causa disso podem remover essas entradas altamente suspeitas para evitar a detecção.
- Novas extensões instaladas, mais notavelmente a extensão do sistema de arquivos da magplasure.Isso permite que os invasores modifiquem arquivos .php e através dele ganho acesso completo ao nível do sistema.Tal como acontece com os usuários, é provável que evite a detecção eles removem esta extensão quando o sistema foi comprometido.
- Se você usar o Versioning, verifique o status base do código local.Se o sistema LIVE tiver arquivos modificados sem comprometer, há razão para se preocupar.