Payment-Sicherheitslücken im Magento 1-Warenkorb können Sie und Ihre Kunden viel Geld kosten.
Einer unserer Kunden mit einem Magento v 1.9.4-Onlineshop im Bereich Kunst & Hobby kam mit folgender Problematik zu uns. Der Kunde beklagte sich über System-Lags im Zusammenhang mit einem Warenkorb. Die einzige Methode, die eine Zeit lang half, war das frequente Leeren des Caches auf der Website.
Im nächsten Schritt haben wir festgestellt, dass der Kunde überhaupt keine Online-Zahlungsmethoden hatte. Aber auf der Kassenseite erschienen Felder für die Eingabe von Kreditkartendaten (übrigens war der gesamte Inhalt auf Russisch, aber die Felder für die Kreditkartendaten waren auf Englisch).
Die weitere Fehlersuche ergab eine Vielzahl von Fehlern in der Konsole, die mit jeder Sekunde zunahmen (d.h. es handelte sich um mehrfache Aufrufe von Schad-Code).
Dann begannen wir, im Code oder in der Datenbank nach Hinweisen zu suchen, jedoch ohne Erfolg, da alles verschlüsselt und nach der Fertigstellung des HTML-Codes eingefügt wurde. Der Pfad war beschädigt und dies erschwerte die Suche nach dem Schad-Code. Vermutet wurde, dass es sich um eine Magento-Schwachstelle handelt und dieser Code durch eine schädliche Anfrage am Ende des Dokuments eingefügt wurde.
Die Vorgehensweise, die hier sehr geholfen hat, war, dass wir einen Cron-Job mit einer Benachrichtigung an die E-Mail geschickt haben.
Es schien sehr seltsam, dass PHP Notice: das png Bild bemängelte. Nach der Überprüfung der Crontab auf dem Server wurden die folgenden Sachverhalte ermittelt:
-Dann begannen wir, das gesamte Projekt nach einer Referenz dieses Bildes «logo_shop_lrg» anhand von Schlüsselwörtern zu durchsuchen und es funktionierte
Was wir in einer der Schlüsseldateien von Magento gefunden haben app/Mage.php
Hier wurde die Datei (Bild) mit dem eingebundenen Schad-Code gefunden:
Außerdem waren die Hacker bedacht und haben den Dateiaufruf nicht nur in der Mitte der Datei, sondern auch am Ende eingebunden. Wenn wir die Verbindung am Ende der Datei nicht bemerkt haben, hätte sie weiter funktionieren können.
Examples of malicious files :
-Mage.php — https://drive.google.com/file/d/1R0l1ptTmEeXaBpcMnSvVrBHXg_tW4utF/view?usp=sharing
-logo_shop_lrg.png — https://drive.google.com/file/d/1xYInOZbJbq8sfO3TGhdLEV6vBmxOgRx4/view?usp=sharing