Что делать с последней уязвимостью: украденные данные кредитной карты?

11

После того, как новость вышла несколько дней назад, я мало что слышал - и никаких официальных заявлений - о самой новой уязвимости. Сукури говорит, что можно получить информацию о кредитной карте или даже все $_POSTданные, включая пароли администратора и тому подобное.

У меня еще не было случая, когда клиент был взломан, но я не хочу ждать, пока это произойдет. Кто-нибудь уже видел патч?

security magento-ce simonthesorcerer
источник
Учитывая последнюю статью о Sucuri, вас также могут заинтересовать ответы @Ben Lessani (Sonassi) здесь: magento.stackexchange.com/a/72697/231
Анна Фёлькл,

Ответы:

8

Какой патч или официальное заявление вы ожидаете? В блоге говорится, что веб-приложение может быть взломано только после того, как злоумышленник получит доступ к коду. Это относится к каждому веб-приложению. Термин Magento здесь полностью взаимозаменяем. В настоящее время они не имеют ни малейшего представления о том, как уязвимый хост был скомпрометирован. Открытой дверью в приведенных примерах может быть что угодно, от проблем с сервером до «уровня 8».

Пока они остаются расплывчатыми и не получают ценную информацию, все это в значительной степени маркетинг, как распространение названия своей компании, создание волн, позиционирование себя в качестве экспертов по безопасности и т. Д. Объединение модных слов, таких как «украсть», «кредитная карта» ». Magento "делает хорошую историю, очевидно.

Что мы еще можем узнать из этого поста:

  • Регулярно следите за своей кодовой базой на предмет неожиданных изменений.
  • Оставьте обработку данных платежа PSP.

Обновление: теперь есть официальное заявление Бена Маркса .

mam08ixo
источник
Да, я знаю, что источник довольно неопределенный. Я также не знаю, связались ли они с Magento / eBay по этой проблеме. Во всяком случае, все еще возможно (и уже дважды происходило в последние месяцы), что это основная ошибка, и я бы ожидал, по крайней мере, такого утверждения, как «мы расследуем» или «не наша вина, какой-то модуль».
Симонтессор
Я согласен, что основной причиной также может быть одно из тысяч расширений или любая (не исправленная) версия Magento. Все еще слишком мало информации для принятия целенаправленных действий imho.
mam08ixo
3

Пока ваша версия Magento обновлена, вы установили все последние исправления, и ваш сервер соответствует рекомендациям по настройке (права доступа к файлам, не работает другое программное обеспечение / веб-сайт, брандмауэр и т. Д.), И это все, что вы можете сделать сейчас. ,

Я думаю, что важно отметить, что пока нет конкретного вектора атаки:

Так как же работает атака? Мы все еще исследуем векторы атаки. Тем не менее, похоже, что злоумышленник использует уязвимость в ядре Magento или в каком-либо широко используемом модуле / расширении.

Редактировать:

Как упоминалось в моем комментарии выше, вы также можете проверить подробный ответ Бена Лессани на другой связанный вопрос, который предоставляет некоторую справочную информацию: /magento//a/72697/231

Анна Фёлькл
источник
2

Не (только) Magento

Я видел, как многие другие сайты взламывали этот код, вставляя вредоносный код в базу кода, и не только в Magento. И есть много вариантов: скрипты, крадущие данные POST, скрипты, добавляющие XSS, скрипты, пытающиеся украсть пароли root, скрипты, позволяющие входящим вызовам обрабатывать данные (для майнинга биткойнов, для отправки спам-писем с этого сервера) и т. Д ...

В некоторых случаях причиной была кража учетных данных FTP (посредством вирусов / вредоносных программ) с клиентского компьютера, в других случаях он использовал эксплойт в приложении.

Есть много других приложений, которые могут предоставить доступ к серверу с помощью эксплойтов, например WordPress.

Только в одном случае виноват Magento, и следует ожидать действий от Magento, а именно: если эксплуатируемое приложение должно быть Magento последней версии и полностью исправлено.

Таким образом, существует лишь небольшая вероятность того, что этот выделенный случай был вызван ошибкой в ​​Magento. Вот почему вы ничего не слышите от Magento.

Новым здесь является то, что вставленный код очень точно нацелен на Magento и использует архитектуру и принципы кода Magento.

Что делать

Теперь, чтобы дать ответ на ваш вопрос "Что с этим делать?"

  • Никогда не запускайте два разных приложения на одном экземпляре сервера, например
    WordPress + Magento. Иногда вы видите, что WordPress работает как на www.magentoshop.com/blog/ или Magento работает на www.wordpresswebsite.com/shop/. Не делай этого. Эксплойты в WordPress могут дать злоумышленнику доступ к вашим данным Magento.

  • Используйте систему контроля версий,
    которую я использую GIT, и также разместите ее на сервере (доступ только для чтения) для развертывания веб-сайта. Это также дает мне быстрое понимание изменений в системе при запуске git status.

  • Никогда не используйте FTP, только SFTP, никогда не храните пароли.
    Я упоминал выше, что пароли FTP были украдены с клиентского компьютера. Использование FTP также небезопасно, так как данные будут передаваться в незашифрованном виде через Интернет. Поэтому используйте SFTP и никогда не храните свои пароли в приложении FTP, просто не ленитесь и вводите их каждый раз, когда вы подключаетесь к своему серверу.

7ochem
источник
Также читайте magento.com/blog/technical/setting-record-straight-0
июня,