Po tym, jak kilka dni temu pojawiły się wiadomości, niewiele słyszałem - i nie było oficjalnego oświadczenia - o najnowszej luce. Sucuri mówi , że można otrzymać informacje o karcie kredytowej, a nawet wszystkie $_POST
dane, w tym hasła administratora i tym podobne.
Nie miałem jeszcze przypadku, w którym włamano się do klienta, ale nie chcę czekać, aż to się stanie, aby podjąć działania. Czy ktoś już widział łatkę?
security
magento-ce
simonthesorcerer
źródło
źródło
Odpowiedzi:
Jakiego rodzaju łatki lub oficjalnego oświadczenia oczekujesz? Wpis na blogu mówi tylko, że aplikacja internetowa może zostać przejęta, gdy atakujący uzyska dostęp do kodu. Dotyczy to każdej aplikacji internetowej. Termin Magento jest tam całkowicie wymienny. Obecnie nie mają pojęcia, w jaki sposób zainfekowany host został naruszony. Otwarte drzwi w podanych przykładach mogą być wszystkim, od problemów z serwerem po „warstwę 8”.
Tak długo, jak pozostają niejasne i nie dostarczają cennych informacji, wszystko to w zasadzie marketingowe, takie jak rozpowszechnianie nazwy firmy, falowanie, pozycjonowanie się jako eksperci ds. Bezpieczeństwa itp. Łączenie modnych słów, takich jak „ukraść” „karta kredytowa” ” Magento ”oczywiście stanowi dobrą historię.
Czego jeszcze możemy się nauczyć z tego postu:
Aktualizacja: Istnieje teraz oficjalne oświadczenie Bena Marksa .
źródło
Dopóki twoja wersja Magento jest aktualna, zainstalowałeś wszystkie najnowsze łaty, a twój serwer spełnia najlepsze praktyki w zakresie konfiguracji (uprawnienia do plików, nie działa żadne inne oprogramowanie / strona internetowa, zapora ogniowa itp.) To wszystko, co możesz teraz zrobić .
Myślę, że należy wspomnieć, że nie ma jeszcze określonego wektora ataku:
Edytować:
Jak wspomniano w moim komentarzu powyżej, możesz także sprawdzić szczegółową odpowiedź Bena Lessaniego na inne powiązane pytanie, które zawiera pewne podstawowe informacje: /magento//a/72697/231
źródło
Nie (tylko) Magento
Widziałem wiele innych stron włamywanych w ten sposób, wstawiających złośliwy kod do bazy kodu, i to nie tylko w Magento. Istnieje wiele wariantów: skrypty kradnące dane POST, skrypty dodające XSS, skrypty próbujące ukraść hasła root, skrypty zezwalające na połączenia przychodzące w celu przetwarzania danych (w przypadku wydobywania Bitcoin, wysyłania spamu z tego serwera) itp.
W niektórych przypadkach przyczyną było skradzione dane uwierzytelniające FTP (wirusy / złośliwe oprogramowanie) z komputera klienckiego, w innych przypadkach wykorzystano exploita w aplikacji.
Istnieje wiele innych aplikacji, które mogą zapewnić dostęp do serwera za pośrednictwem exploitów, na przykład WordPress.
Jest tylko jeden przypadek, w którym Magento byłby winny, i należałoby się spodziewać działania ze strony Magento, a mianowicie: gdyby wykorzystywana aplikacja miała być Magento w najnowszej wersji i w pełni załatana.
Jest więc tylko niewielka szansa, że ten jeden z wyróżnionych przypadków został spowodowany przez awarię Magento. Dlatego nic nie słyszysz od Magento.
Nowością jest to, że wstawiony kod jest bardzo konkretnie ukierunkowany na Magento i wykorzystuje architekturę i zasady kodu Magento.
Co robić
Teraz, aby udzielić odpowiedzi na pytanie „Co z tym zrobić?”
Nigdy nie uruchamiaj dwóch różnych aplikacji na tej samej instancji serwera, takich
jak WordPress + Magento. Czasami widzisz WordPress działający jak na www.magentoshop.com/blog/ lub Magento działający na www.wordpresswebsite.com/shop/. Nie rób tego Exploity w WordPress mogą dać atakującemu dostęp do twoich danych Magento.
Użyj systemu kontroli wersji
Korzystam z GIT, a także mam to na serwerze (dostęp tylko do odczytu), aby wdrożyć witrynę. Daje mi to także szybki wgląd w zmiany w systemie po uruchomieniu
git status
.Nigdy nie używaj FTP, tylko SFTP, nigdy nie przechowuj haseł
Wspomniałem powyżej, że hasła FTP zostały skradzione z komputera klienckiego. Również korzystanie z FTP nie jest bezpieczne, ponieważ wysyła dane niezaszyfrowane przez Internet. Używaj SFTP i nigdy nie przechowuj haseł w aplikacji FTP, po prostu nie bądź leniwy i wpisuj je za każdym razem, gdy łączysz się z serwerem.
źródło