Berdasarkan uraian OP, sulit untuk menentukan kondisi sistem saat ini sehubungan dengan Magento yang dikompromikan. Sayangnya, seperti yang saya bahas di bawah ini, menginstal perbaikan tidak akan menyelesaikan masalah Anda jika Anda sudah dikompromikan. Mereka hanya menghentikan serangan di masa depan, Mereka TIDAK MELAKUKAN APA SAJA UNTUK MEMPERBAIKI SISTEM YANG SUDAH DI KOMPROMI.
Kami telah mendokumentasikan penelitian kami untuk memberikan daftar tanda tangan serangan yang diketahui sehingga Anda dapat memeriksa sistem Anda untuk bukti mereka dan meresponsnya. Ingatlah bahwa kami belum pernah melihat dua kompromi yang persis sama, jadi ada kemungkinan sistem Anda mungkin sedikit berbeda - jika Anda menemukan sesuatu pada sistem Anda yang belum kami dokumentasikan, silakan bagikan dengan kami begitu kami dapat memperbarui panduan tanda tangan serangan atau hanya garpu, memperbarui dan mengirimkan permintaan tarik.
Kami sedang mengerjakan toolkit untuk mengotomatisasi perbaikan item ini, tetapi mungkin satu atau dua minggu hingga siap untuk distribusi. Sementara itu, kami berbagi pengetahuan yang kami peroleh melalui kompromi ini dengan semua orang di komunitas dalam upaya untuk memastikan semua orang seaman yang bisa diharapkan.
Saya menyertakan 3-Langkah Analisis Keamanan & Proses Respons di bawah ini yang telah kami kerjakan berulang kali untuk mendapatkan hasil yang konsisten. Asumsi kunci yang harus Anda buat adalah bahwa Anda tidak dapat mengetahui apa yang telah atau belum dikompromikan hingga Anda mendiferensi file dalam sistem Anda terhadap kode sumber default yang disediakan oleh Magento atau salinan yang Anda buat di Repositori (Git / Mercurial / SVN). ANDA HARUS berasumsi bahwa database dan login Anda telah disusupi dan ubah semuanya.
CATATAN KRITIS: Memasang tambalan dari Magento TIDAK AKAN membantu Anda jika Anda telah dikompromikan. Paling-paling, itu akan menghentikan kompromi TAMBAHAN dari jenis yang diketahui, tetapi jika Anda sudah dikompromikan maka Anda harus KEDUA menginstal tambalan dan memperbaiki sistem Anda seperti yang kami sorot di bawah ini.
Fase 1: Identifikasi ruang lingkup kompromi Anda. Masing-masing dan setiap item yang saya cantumkan di bawah ini adalah tanda tangan yang kami temukan di situs Magento yang dikompromikan, khususnya yang berkaitan dengan pengumuman kerentanan SUPEE-5344 dan SUPEE-5994. Setelah menginstal tambalan terbaru ( dan tambalan lain yang mungkin perlu Anda instal dari Magento ), Anda harus memeriksa setiap tambalan dan memeriksa untuk melihat apakah Anda menemukan bukti tanda tangan di sistem Anda. Banyak dari mereka cukup sendiri untuk memungkinkan penyerang memasuki kembali sistem Anda setelah Anda menambalnya, jadi Anda harus rajin dan memastikan Anda tidak melewatkan apa pun atau gagal memulihkannya.
Anda juga dapat menggunakan pemindai online dari Magento , tetapi pada umumnya ini hanya akan memberi tahu Anda jika Anda telah menginstal tambalan dan mencegah kompromi di masa depan. Jika Anda sudah dikompromikan, ini tidak akan memindai pintu belakang lain atau serangan yang mungkin telah diinstal ketika Anda pertama kali diserang. setidaknya tidak satu pun dari yang kami uji menemukan tanda tangan yang kami temukan. Pertahanan mendalam adalah cara yang harus dilakukan, yang berarti banyak pemindaian dan ulasan dari berbagai alat dan perspektif jika Anda ingin percaya diri dalam hasilnya.
Fase 2: Hapus apa yang Anda harus, dan ganti apa yang Anda bisa: gunakan file asli dari repositori Anda atau file sumber Magento. Jika Anda tidak menjalankan salah satu versi terbaru, Anda masih dapat menggunakan halaman unduhan Magento untuk mengambil sumber versi yang lebih lama dari situs mereka.
Fase 3: Kredensial RESET: Inventarisasi setiap penggunaan nama login dan kata sandi yang terkait dengan penyebaran Anda dan atur ulang semuanya, termasuk
- Login Akun Pedagang dan Kunci API
- Login Admin & Kata Sandi Magento
- Kredensial akun email
- LDAP / AD / Sistem Otentikasi Utama
- Kata sandi
- SEGALA SESUATU
- Anda dapat yakin bahwa langkah-langkah sebelumnya akan membantu Anda membersihkan fies yang terinfeksi tetapi Anda tidak dapat mengetahui apakah kata sandi telah diendus atau kunci dicatat atau korban dari beberapa serangan lain, sehingga mengatur ulang semua kredensial terkait adalah pilihan paling aman jika Anda akan upaya untuk memulihkan sistem yang dikompromikan.
Panduan ini terlalu panjang untuk dikirim dalam respons ini tetapi daftar tanda tangan dapat segera diunduh di repositori GitHub Toolkit Magento kami .