Как я заметил, в течение последних суток (с вечера 23 по утро 24 апреля 2015 г.) злоумышленники развили большую активность: по моим данным, они просканировали свыше 70% работающих в интернете интернет-магазинов на Magento на предмет наличия уязвимости, закрываемой заплаткой SUPEE-5344, и, при наличии незакрытой уязвимости — взломали эти магазины.
Я не счёл нужным устанавливать заплатку SUPEE-5344. Как мне теперь определить, что мой магазин взломан?
Неспециалист сможет определить факт взлома только при самых топорных, примитивных случаях взлома.
Один из таких примеров (магазин одного из клиентов Российской сборки Magento, который не стал устанавливать заплатку):
В этом примере злоумышленники добавили две учётных записи администратора:
- wsiv с почтовым адресом email@example.com
- _system_backup с почтовым адресом auto_bc@magent.com
Почему злоумышленники создали сразу две учётные записи администраторов?
Всё просто: это работали 2 разных злоумышленника.
Обратите внимание, что:
Грамотный злоумышленник не будет назначать себя администратором магазина: это слишком бросается в глаза.
Грамотный злоумышленник скорее установит на сервер (хостинг) троянскую программу, чтобы затем управлять сервером не привлекая внимания: рассылать спам, заниматься парсингом важных сайтов типа Яндекс.Маркет, используя ресурсы Вашего сервера (из-за чего Ваш сайт будет тормозить), или может, найти что-нибудь интересное в базах данных Вашего сервера (навскидку самой интересной выглядит клиентская база: ведь это подтверждённо платёжеспособная аудитория, которой можно рассылать целевые рекламные предложения).
В открытую назначать себя администратором слишком глупо, так что указанные 2 взломщика — это просто школьники, а кроме них могли быть и другие, которые не оставили бросающихся в глаза следов взлома.
Я не счёл нужным устанавливать заплатку SUPEE-5344. Что мне теперь делать?
- Установить всё-таки заплатку.
- Обратиться к специалисту для анализа и устранения последствий возможных взломов. У меня эта услуга стоит 5.000 рублей за магазин.
Простое удаление новых администраторов типа «wsiv», «_system_backup» ничего не даст, если на Ваш сервер уже установлена троянская программа: злоумышленник не только может заново в любой момент назначить себя администратором, но и выполнять всю свою деятельность без таких излишних формальностей. - Только после выполнения 2-х предыдущих пунктов: сменить все пароли.
- Делать, наконец, резервные копии. Это хорошо, когда школьники через запрос к базе данных просто назначают себя администраторами магазинов. А ведь могли бы просто грохнуть всю базу данных.