记magento被gooqlemgrteg植入代码事件

magento1.9被植入代码，异常表现为两块，一是在结账页的信用卡界面出现输入卡号的信息，二是谷歌广告拒登，查询到恶意软件，代码为https://gooqlemgrteg.com/ajax/jquery.js，经核实，对应js就是造成异常卡号的原因。该恶意js经排查未找到引入原因和方式。

如上图，异常卡号输入，收集用户信息。

最大的困难是该js的代码会动态变化，本来处理方式为用js把对应框隐藏，结果后面恶意js发生的变化，导致页面上的任一位置进行点击都会js报错，进而引起后续的js全部都不执行。因为此种情况，网站的所有流程都无法进行，只能停广告进行修复。

经过多种尝试和操作，均未找到引入的方法和途径，再加上异常代码的动态变化。最后没办法，在github上找到了一家国外的专门扫描电商系统漏洞的公司。具体网址为：https://sansec.io/?mwscan

在线购买49欧元的服务，然后在邮件中收到了免费30天的**。按照提示步骤进行操作，最终得出了被植入的结果：

然后根据对应的提示删除异常代码，再次对网站进行测试，恢复正常。

这次攻击应该是通过magento的系统漏洞进行植入的。由于1.X版本已经放弃维护和更新，那么使用此版本的公司需要有更多的关于代码安全和防护方面的准备。