Магазин Magento небезопасен

15

Недавно я взял на себя управление магазином Magento. Вчера мы получили электронное письмо от ИТ-компании, в котором говорилось, что наш магазин небезопасен. Несмотря на то, что я сомневаюсь в законности электронного письма, оно показывало последний заказ в магазине, количество зарегистрированных покупателей и последний добавленный товар.

Поскольку я недавно стал администратором, после осознания, я точно не знаю, какие меры безопасности были приняты. Следующие вещи я точно знаю:

  • Там есть собственный путь для панели администратора
  • Данные отправляются через https
  • Пароль администратора - это строка случайных строчных или заглавных букв

Если это письмо является законным, как я могу решить эту проблему?

Дейв
источник
1
добавьте в список: логин администратора не является "администратором" или "администратором"
nicolallias
1
Если вы не пропатчены до последних уровней патчей, изменение пути администратора было смехотворной тратой времени, поскольку было очень легко заставить Magento обнажить запутанный путь. Убедитесь, что в вашей установке были применены все исправления безопасности.
Fiasco Labs

Ответы:

7

Вы установили все патчи? https://www.magentocommerce.com/download#cat_1735_files

После применения патчей измените все пароли администратора.

И какие бы сторонние модули не были установлены, они могут делать все, что хотят, например, делать большие дыры в безопасности в magento.

Фабиан Блехшмидт
источник
4

Проверьте ваш магазин безопасности на https://shoplift.byte.nl/

Проверьте свой бэкэнд аккаунт, удалите права, которые им не нужны

Установите все патчи. На http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/ вы можете увидеть, какой патч для какой версии вам понадобится.

Просмотрите сторонние модули, если можете.

Кевин Кригер
источник
3

Основываясь на описании OP, сложно определить текущее состояние системы в отношении скомпрометированного Magento. К сожалению, как я расскажу ниже, установка исправлений не решит вашу проблему, если вы уже скомпрометированы. Они только останавливают будущие атаки, они НЕ ДЕЙСТВУЮТ, ЧТОБЫ ИСПРАВИТЬ СИСТЕМУ, УЖЕ Скомпрометированную.

Мы задокументировали наше исследование, чтобы предоставить список известных сигнатур атак, чтобы вы могли проверить свои системы на наличие доказательств их наличия и ответить соответствующим образом. Имейте в виду, что мы никогда не встречали двух одинаковых компромиссов, поэтому есть вероятность, что ваша конкретная система может немного отличаться - если вы обнаружите в своей системе что-то, что мы еще не документировали, поделитесь этим с нами, мы можем обновить руководство по сигнатурам атак или просто разветвиться, обновить и отправить запрос на удаление.

Мы работаем над инструментарием для автоматизации исправления этого элемента, но может пройти неделя или две, пока он не будет готов к распространению. В то же время мы делимся знаниями, полученными в результате этих компромиссов, со всеми членами сообщества, стремясь сделать так, чтобы все были в безопасности, как можно было ожидать.

Ниже я включаю трехэтапный процесс анализа и реагирования на безопасность, который мы снова и снова работали, чтобы получить согласованные результаты. Ключевое предположение, которое вы должны будете сделать, заключается в том, что вы не можете знать, что скомпрометировано или не было скомпрометировано, пока вы не измените файлы в вашей системе на исходный код по умолчанию, предоставленный Magento, или на копию, которую вы сделали на своем компьютере. (Git / Mercurial / SVN) хранилище. ВЫ ДОЛЖНЫ ПРИНЯТЬ, что ваша база данных и логины были скомпрометированы, и пойти и изменить их все.

КРИТИЧЕСКОЕ ПРИМЕЧАНИЕ: Установка патчей от Magento НЕ поможет вам, если вы уже скомпрометированы. В лучшем случае это остановит ДОПОЛНИТЕЛЬНЫЕ компромиссы известных типов, но если вы уже скомпрометированы, вам придется ОБА установить эти исправления и исправить вашу систему, как мы выделим ниже.

Этап 1: Определите сферу вашего компромисса. Все элементы, перечисленные ниже, являются сигнатурами, обнаруженными нами на скомпрометированных сайтах Magento, специально относящихся к сообщениям об уязвимостях SUPEE-5344 и SUPEE-5994. После того, как вы установили самые последние исправления ( и любые другие, которые вам могут понадобиться для установки из Magento ), вам нужно просмотреть каждое из них и проверить, нет ли каких-либо свидетельств подписи в вашей системе. Многих из них достаточно для того, чтобы позволить злоумышленнику повторно войти в вашу систему после того, как вы исправили ее, поэтому вам придется проявить усердие и убедиться, что вы ничего не пропустили или не исправили это.

Вы также можете использовать онлайн-сканер от Magento , но, по большому счету , они только сообщат вам, если вы установили исправления и предотвратили будущие компромиссы. Если вы уже скомпрометированы, они не будут сканировать другие черные ходы или атаки, которые могли быть установлены при первом нападении. по крайней мере, ни один из протестированных нами не обнаружил подписи, которые мы обнаружили. Глубокая защита - это путь, который подразумевает многократное сканирование и просмотр с разных инструментов и точек зрения, если вы хотите быть уверенными в результатах.

Этап 2. Удалите то, что вы должны, и замените то, что вы можете: использовать оригинальные файлы из вашего хранилища или исходные файлы Magento. Если у вас не установлена ​​одна из последних версий, вы все равно можете использовать страницу загрузки Magento, чтобы получить исходные версии версий с их сайта.

Этап 3: СБРОС Учетные данные: инвентаризация каждого использования имени пользователя и пароля, удаленно связанных с вашим развертыванием, и сброс их всех, включая

  • Логины торговых аккаунтов и ключи API
  • Magento Admin логины и пароли
  • Учетные данные электронной почты
  • LDAP / AD / первичная система аутентификации
  • Пароли
  • ВСЕ
  • Вы можете быть разумно уверены, что предыдущие шаги помогут вам очистить зараженных файлов, но вы не можете знать, были ли прослушаны пароли, зарегистрированы ли ключи или были ли они жертвами какой-либо другой атаки, поэтому сброс всех связанных учетных данных - самый безопасный вариант, если вы собираетесь попытаться исправить скомпрометированную систему.

Руководство слишком длинное для публикации в этом ответе, но список подписей можно скачать сразу же в нашем репозитории Magento Security Toolkit GitHub .

Брайан 'BJ' Хоффпауир младший
источник
2

Вещи, которые вы перечислили, являются хорошими первыми шагами, но они ни в коем случае не единственные вещи, которые вы должны сделать, чтобы сделать ваш сайт безопасным.

Что именно небезопасно в вашем сайте, никто не сможет ответить, по крайней мере, не глядя на ваш сайт. Это действительно зависит от ваших настроек, например, если вы используете apache или nginx, они настроены правильно? Вы установили все последние исправления безопасности magento ?

Если бы они смогли рассказать вам о последнем заказе и количестве зарегистрированных клиентов, я бы отнесся к этому серьезно ...

Эндрю Кетт
источник
0

Несмотря на то, что я сомневаюсь в законности электронного письма, оно показывало последний заказ в магазине, количество зарегистрированных покупателей и последний добавленный товар.

Это звучит законно ...

Я не думаю, что это было упомянуто, но некоторые из этих электронных писем о рыбалке могут быть от хороших компаний, и, возможно, стоит хотя бы посмотреть, что они взяли бы, чтобы решить проблему. (Похоже, у них была бы хорошая идея, с чего начать). Если компания кажется сомнительной, тогда да, избегайте.

Есть некоторые хорошие моменты выше; если вы собираетесь сделать это самостоятельно, вам нужно либо сравнить файлы с известными начальными точками, либо, может быть, проще (в зависимости от ваших настроек) установить свежий Magento на другой сервер и перейти оттуда (установить свежие версии). из всех имеющихся у вас расширений импортируйте продукты (это может быть быстро с помощью такого инструмента, как Magmi) и, наконец, экспортируйте ваши заказы / клиентов с текущего сайта, а затем импортируйте их в новую настройку).

Джим Му
источник