即使在应用补丁后，Magento仍然被黑

在我的Magento社区版本1.8.1站点被黑客入侵之前的几天，因为我们迟于应用补丁了。我们发现某些文件已更改，这些是

1. index.php [黑客添加了一些代码]。
2. get.php
3. js / index.php
4. js / lib / ccard.js
5. lib / Varien / Autoload.php

他们还安装了名为Magpleasure文件系统的模块

但是在应用补丁并删除黑客在我们的应用程序问题中添加的所有内容之后，仍无法解决。

黑客最终更改了3个文件

1. get.php
2. js / index.php
3. js / lib / ccard.js

有什么我们想念的吗？

如何通过攻击我们的文件来防止它们？

补丁是否正常工作？我应该如何检查？

看来您的Magento设置仍然受到损害，因此您应该仔细检查Magento + Webserver设置。

如果安装遭到破坏，您将无法信任您的安装。最终的方法是在购买新设备之前，使用最新备份对新主机上的所有文件进行全新的干净设置。

如果由于种种原因无法做到这一点，则可以检查/执行以下与该问题有关的事情：

删除所有检测到的已更改/被黑客入侵的文件以及已安装的扩展名

更好的是：使用最新版本从开发系统中进行干净（git）签出。除非您的开发/登台系统也没有受到破坏，否则这将是最安全的（如果您是在本地或在受保护的环境中开发，则不会这样）。

删除创建的后端管理员帐户

特别是对于SUPEE-5344，还将在后端创建一个管理员帐户。删除所有新的/不必要的管理员帐户。

备用计划

根据您的备份计划和策略，您可能会考虑回滚整个数据库。

检查文件/文件夹权限

您是否检查了文件/文件夹权限？无需使用777或以root用户身份运行所有程序。根据您的服务器配置，400/500就足够了。请参阅此处的文档。

检查服务器日志

检查您的Web服务器访问/错误日志，以跟踪访问的站点和可疑URL。也许您发现可疑IP在防火墙级别受阻。

我认为这很平常。在Magento的安全团队发现漏洞或有人向其报告后，才进行修补。但是直到那时，Magento商店仍然是黑客的游乐场。

一些要检查的文件也可能被修改了：

1. 应用程序/代码/核心/法师/ XmlConnect /阻止/结帐/付款/方法/Ccsave.php

2. 应用/代码/核心/法师/客户/控制器/AccountController.php

3. 应用/代码/核心/法师/付款/模型/方法/Cc.php

4. app / code / core / Mage / Checkout / Model / Type / Onepage.php

另外，在您的服务器中使用SSH时，以下命令可轻松找到恶意软件/后门/外壳程序：

find /var/www -name "*.php" -exec grep -l "$_FILES[" {} \;

我从https://www.getastra.com/blog/911/how-to-remove-fix-magento-opencart-credit-card-malware-hack/获取了以上信息

直接检查可能很有用。