Sklep Magento nie jest bezpieczny

Ostatnio przejęłam zarządzanie sklepem Magento. Wczoraj otrzymaliśmy wiadomość e-mail od firmy informatycznej z informacją, że nasz sklep nie jest bezpieczny. Mimo że wątpię w prawdziwość wiadomości e-mail, pokazała ona ostatnie zamówienie w sklepie, liczbę zarejestrowanych klientów i ostatni dodany produkt.

Odkąd niedawno zostałem administratorem, po realizacji nie wiem dokładnie, jakie środki bezpieczeństwa zostały podjęte. Następujące rzeczy wiem na pewno:

• Istnieje niestandardowa ścieżka dla panelu administracyjnego
• Dane są przesyłane przez https
• Hasło administratora to ciąg losowych małych lub wielkich liter

Jeśli ta wiadomość jest prawdziwa, jak mogę rozwiązać ten problem?

Czy zainstalowałeś wszystkie łatki? https://www.magentocommerce.com/download#cat_1735_files

Po zastosowaniu poprawek zmień wszystkie hasła administratora.

I cokolwiek zainstalowane są moduły stron trzecich, mogą robić, co chcą, np. Robić duże dziury w bezpieczeństwie w Magento.

Sprawdź swoje bezpieczeństwo w sklepie na https://shoplift.byte.nl/

Sprawdź swoje konto zaplecza, usuń to, czego nie potrzebują

Zainstaluj wszystkie łatki. Na stronie http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/ można zobaczyć, która łata dla której wersji będzie potrzebna.

Przejrzyj moduły innych firm, jeśli możesz.

Na podstawie opisu PO trudno jest określić aktualny stan systemu w odniesieniu do skompromitowanego Magento. Niestety, jak omówię poniżej, instalacja poprawek nie rozwiąże problemu, jeśli jesteś już zagrożony. Zatrzymują tylko przyszłe ataki, NIE robią nic, aby naprawić system, który jest już skompromitowany.

Udokumentowaliśmy nasze badania w celu zapewnienia listę znanych sygnatur ataków , abyś mógł sprawdzić swoje systemy pod kątem ich dowodów i odpowiednio zareagować. Pamiętaj, że nigdy nie widzieliśmy dwóch kompromisów, które są dokładnie takie same, więc istnieje szansa, że ​​Twój system może się nieco różnić - jeśli odkryjesz w systemie coś, czego jeszcze nie udokumentowaliśmy, podziel się z nami tym, aby możemy zaktualizować przewodnik po sygnaturze ataku lub po prostu rozwidlić, zaktualizować i przesłać żądanie ściągnięcia.

Pracujemy nad zestawem narzędzi do zautomatyzowania naprawy tych elementów, ale może minąć tydzień lub dwa, zanim będzie gotowy do dystrybucji. W międzyczasie jesteśmy dzielimy się wiedzą, którą zdobyliśmy dzięki tym kompromisom ze wszystkimi członkami społeczności, aby upewnić się, że wszyscy są tak bezpieczni, jak można się spodziewać.

Poniżej przedstawiam 3-etapowy proces analizy i reakcji bezpieczeństwa, nad którym wielokrotnie pracowaliśmy, aby uzyskać spójne wyniki. Kluczowym założeniem, które musisz podjąć, jest to, że nie możesz wiedzieć, co zostało lub nie zostało naruszone, dopóki nie różnicujesz plików w systemie względem domyślnego kodu źródłowego dostarczonego przez Magento lub kopii, którą wykonałeś Repozytorium (Git / Mercurial / SVN). POWINIENEŚ PRZYJMOWAĆ, że baza danych i loginy zostały naruszone, i zmień je wszystkie.

UWAGA KRYTYCZNA: Zainstalowanie łatek z Magento NIE BĘDZIE ci pomóc, jeśli już byłeś zagrożony. W najlepszym wypadku zatrzyma DODATKOWE kompromisy znanych typów, ale jeśli już jesteś zagrożony, musisz ZARÓWNO zainstalować łatki i naprawić swój system, jak podkreślamy poniżej.

Faza 1: Określ zakres swojego kompromisu. Każdy z wymienionych poniżej elementów to sygnatury, które odkryliśmy w zainfekowanych witrynach Magento, szczególnie w związku z ogłoszeniami o lukach w zabezpieczeniach SUPEE-5344 i SUPEE-5994. Po zainstalowaniu najnowszych łat ( i wszelkich innych, które mogą wymagać instalacji z Magento ), musisz przejrzeć każdą z nich i sprawdzić, czy znajdziesz jakieś dowody podpisu w swoim systemie. Wiele z nich jest wystarczających, aby umożliwić atakującemu ponowne wejście do systemu po jego załataniu, więc musisz być pilny i upewnić się, że niczego nie pominiesz lub nie naprawisz go.

Możesz także użyć skanera online z Magento , ale ogólnie rzecz biorąc , tylko one powiedzą ci, czy zainstalowałeś łatki i zapobiegłeś przyszłym kompromisom. Jeśli masz już zaatakowane zabezpieczenia, nie będą one skanować w poszukiwaniu innych tylnych drzwi lub ataków, które mogły zostać zainstalowane podczas pierwszego ataku. przynajmniej żaden z testowanych przez nas nie znalazł podpisów, które znaleźliśmy. Głęboka obrona to droga, która oznacza wiele skanów i recenzji z wielu narzędzi i perspektyw, jeśli chcesz być pewny wyników.

Faza 2: Usuń to, co musisz, i zastąp to, co możesz: użyj oryginalnych plików z repozytorium lub plików źródłowych Magento. Jeśli nie korzystasz z jednej z najnowszych wersji, nadal możesz użyć strony pobierania Magento, aby pobrać źródła starszych wersji z ich witryny.

Faza 3: RESETUJ Poświadczenia: Zanotuj każde użycie nazwy logowania i hasła zdalnie związane z twoim wdrożeniem i zresetuj je wszystkie, w tym

• Loginy do konta sprzedawcy i klucze API
• Loginy i hasła administratora Magento
• Poświadczenia konta e-mail
• LDAP / AD / Primary Authentication System
• Hasła
• WSZYSTKO
• Możesz mieć całkowitą pewność, że powyższe kroki pomogą ci usunąć zainfekowane fy, ale nie możesz wiedzieć, czy hasła zostały powąchane, czy zarejestrowane kluczem, czy ofiarą innego ataku, więc zresetowanie wszystkich powiązanych danych uwierzytelniających jest najbezpieczniejszą opcją, jeśli zamierzasz próba naprawy zaatakowanego systemu.

Przewodnik jest zbyt długi, aby opublikować w tej odpowiedzi, ale listę podpisów można natychmiast pobrać z naszego repozytorium GitHub Magento Security Toolkit .

Wymienione rzeczy to dobre pierwsze kroki, ale w żadnym wypadku nie są jedynymi rzeczami, które musisz zrobić, aby witryna była bezpieczna.

Dokładnie to, co jest niepewne w twojej witrynie, nikt nie będzie w stanie odpowiedzieć, przynajmniej bez patrzenia na twoją stronę. To zależy od twojej konfiguracji, np. Jeśli używasz apache lub nginx, czy są one poprawnie skonfigurowane? Czy zainstalowałeś wszystkie najnowsze łatki bezpieczeństwa Magento ?

Gdyby mogli powiedzieć ci o ostatnim zamówieniu i liczbie zarejestrowanych klientów, wziąłbym to na poważnie ...

Mimo że wątpię w prawdziwość wiadomości e-mail, pokazała ona ostatnie zamówienie w sklepie, liczbę zarejestrowanych klientów i ostatni dodany produkt.

Brzmi legalnie ...

Nie sądzę, żeby o tym wspominano, ale niektóre z tych e-maili wędkarskich mogą pochodzić od dobrych firm i warto przynajmniej zobaczyć, ile pobiorą za rozwiązanie problemu. (Wygląda na to, że mieliby dobry pomysł, od czego zacząć) Jeśli firma wydaje się podejrzana, to tak, unikaj.

Jest kilka dobrych punktów powyżej; jeśli masz zamiar zrobić to sam, musisz różnicować pliki względem znanych punktów początkowych lub, być może łatwiej (w zależności od konfiguracji), zainstalować świeżą wersję Magento na innym serwerze i przejść stamtąd (zainstalować nowe wersje wszystkich posiadanych rozszerzeń, zaimportuj produkty (może być szybkie przy użyciu narzędzia takiego jak Magmi), a na koniec wyeksportuj swoje zamówienia / klientów z bieżącej witryny, a następnie zaimportuj do nowej konfiguracji.