Negozio Magento non sicuro

Di recente ho assunto la gestione di un negozio Magento. Ieri abbiamo ricevuto un'e-mail da una società IT in cui si afferma che il nostro negozio non era sicuro. Anche se dubito della legittimità dell'email, mostrava l'ultimo ordine nel negozio, la quantità di clienti registrati e l'ultimo prodotto aggiunto.

Da quando sono diventato di recente amministratore, dopo la realizzazione, non so esattamente quali misure di sicurezza siano state prese. Le seguenti cose che so per certo:

• C'è un percorso personalizzato per il pannello di amministrazione
• I dati vengono inviati tramite https
• La password dell'amministratore è una stringa di lettere casuali maiuscole o minuscole

Se questa posta è legittima, come posso risolvere questo problema?

Hai installato tutte le patch? https://www.magentocommerce.com/download#cat_1735_files

Dopo aver applicato le patch, cambia tutte le password di amministratore.

E qualsiasi modulo di terze parti sia installato, può fare quello che vuole, ad esempio fare grandi buchi di sicurezza in Magento.

Controlla la sicurezza del tuo negozio su https://shoplift.byte.nl/

Controlla il tuo account di backend, rimuovilo nel modo giusto che non è necessario

Installa tutte le patch. A http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/ puoi vedere quale patch per quale versione ti servirà.

Controlla i moduli di terze parti, se puoi.

Sulla base della descrizione del PO, è difficile determinare lo stato attuale del sistema rispetto a un Magento compromesso. Sfortunatamente, come discuterò di seguito, l'installazione delle correzioni non risolverà il problema se si è già compromessi. Fermano solo gli attacchi futuri, NON FANNO NULLA PER FISSARE UN SISTEMA GIÀ COMPROMESSO.

Abbiamo documentato le nostre ricerche per fornire un elenco di firme di attacchi conosciute in modo da poter controllare i sistemi per verificarne l'evidenza e rispondere di conseguenza. Tieni presente che non abbiamo mai visto due compromessi esattamente uguali, quindi è possibile che il tuo sistema particolare sia leggermente diverso: se scopri qualcosa sul tuo sistema che non abbiamo già documentato, ti preghiamo di condividerlo con noi possiamo aggiornare la guida alla firma dell'attacco o semplicemente fork, aggiornare e inviare una richiesta pull.

Stiamo lavorando su un toolkit per automatizzare la riparazione di questi articoli, ma potrebbero essere necessari una settimana o due prima che sia pronto per la distribuzione. Nel frattempo, stiamo condividendo le conoscenze acquisite lavorando attraverso questi compromessi con tutti i membri della comunità, nel tentativo di garantire che tutti siano al sicuro come ci si può aspettare.

Sto includendo un processo di analisi della sicurezza e risposta in 3 passaggi di seguito che abbiamo lavorato più volte per ottenere risultati coerenti. Il presupposto chiave che dovrai fare è che non puoi sapere cosa è stato o non è stato compromesso fino a quando non div diffondi i file nel tuo sistema dal codice sorgente predefinito fornito da Magento o da una copia che hai fatto nel tuo (Git / Mercurial / SVN) repository. DOVREI ASSUMERE che il tuo database e gli accessi siano stati compromessi e vai a cambiarli tutti.

NOTA CRITICA: L' installazione delle patch da Magento NON ti aiuterà se sei già stato compromesso. Nella migliore delle ipotesi, interromperà i compromessi AGGIUNTIVI dei tipi noti, ma se si è già compromessi, sarà NECESSARIO installare le patch e rimediare al sistema come evidenziato di seguito.

Fase 1: identifica l'ambito del tuo compromesso. Ciascuno degli elementi che elenchiamo di seguito sono firme che abbiamo scoperto su siti Magento compromessi, in particolare relativi agli annunci di vulnerabilità SUPEE-5344 e SUPEE-5994. Dopo aver installato le patch più recenti ( e tutte le altre che potresti aver bisogno di installare da Magento ), devi esaminare ognuna di esse e controllare se trovi prove della firma sul tuo sistema. Molti di loro sono sufficienti da soli per consentire a un utente malintenzionato di rientrare nel sistema dopo averlo patchato, quindi dovrai essere diligente e assicurarti di non saltare nulla o di non risolverlo.

Puoi anche usare lo scanner online di Magento , ma nel complesso questi ti diranno solo se hai installato le patch e prevenuto compromessi futuri. Se sei già stato compromesso, questi non cercheranno altre backdoor o attacchi che potrebbero essere stati installati al primo attacco. almeno nessuno di quelli che abbiamo testato ha trovato le firme che abbiamo scoperto. La difesa in profondità è la strada da percorrere, il che significa più scansioni e recensioni da più strumenti e prospettive se si desidera essere sicuri dei risultati.

Fase 2: eliminare ciò che è necessario e sostituire ciò che è possibile: utilizzare i file originali dal repository o i file di origine Magento. Se non stai eseguendo una delle versioni più recenti, puoi comunque utilizzare la pagina di download di Magento per acquisire fonti di versioni precedenti dal loro sito.

Fase 3: RESET Credenziali: Inventario di ogni utilizzo di un nome di accesso e password in remoto relativi alla distribuzione e ripristinarli tutti, tra cui

• Login account commerciante e chiavi API
• Login e password dell'amministratore Magento
• Credenziali dell'account e-mail
• Sistema di autenticazione LDAP / AD / Primary
• Le password
• QUALUNQUE COSA
• Puoi essere ragionevolmente sicuro che i passaggi precedenti ti aiuteranno a eliminare i virus infetti, ma non puoi sapere se le password sono state sniffate o registrate tramite chiave o la vittima di qualche altro attacco, quindi ripristinare tutte le credenziali correlate è l'opzione più sicura se hai intenzione di tenta di riparare un sistema compromesso.

La guida è troppo lunga per pubblicare questa risposta, ma l'elenco delle firme può essere scaricato immediatamente nel nostro repository GitHub di Magento Security Toolkit .

Le cose che hai elencato sono buoni primi passi ma non sono affatto le uniche cose che devi fare per rendere sicuro il tuo sito.

Esattamente ciò che è insicuro sul tuo sito nessuno sarà in grado di rispondere, almeno senza guardare il tuo sito. Dipende davvero dalla tua configurazione, ad esempio se stai usando apache o nginx, sono configurati correttamente? Hai installato tutte le ultime patch di sicurezza di Magento ?

Se fossero in grado di parlarti dell'ultimo ordine e del numero di clienti registrati, lo prenderei sul serio ...

Anche se dubito della legittimità dell'email, mostrava l'ultimo ordine nel negozio, la quantità di clienti registrati e l'ultimo prodotto aggiunto.

Sembra legittimo ...

Non credo che questo sia stato menzionato, ma alcune di queste e-mail di pesca possono provenire da aziende ok, e può valere la pena di vedere almeno cosa avrebbero addebitato per risolvere il problema. (Sembra che avrebbero una buona idea da dove cominciare) Se la compagnia sembra ombrosa, allora sì, evita.

Ci sono alcuni punti positivi sopra; se hai intenzione di farlo da solo, devi diffondere i file rispetto a punti di partenza noti o, forse più semplice (a seconda della configurazione) è installare un nuovo Magento su un altro server e passare da lì (installa nuove versioni di tutte le estensioni che hai, importa i prodotti (può essere veloce utilizzando uno strumento come Magmi) e infine esporta i tuoi ordini / clienti dal sito corrente, quindi importa nella nuova configurazione).