Công cụ quét mã Magento cho nội dung độc hại


8

Chúng tôi có một khách hàng rất quan tâm đến mã độc hại được giới thiệu trong các mô-đun của bên thứ ba, đặc biệt là các mô-đun đến từ Magento Connect (Hoặc bất kỳ mô-đun miễn phí nào) Họ muốn sử dụng một trong các mô-đun này nhưng muốn được đảm bảo rằng mô-đun đó không chứa mã cho phép tin tặc truy cập vào các phần khác nhau của trang Magento của họ.

Câu hỏi của tôi là: Có công cụ nào chúng ta có thể sử dụng để quét mã cho nội dung không? Một cái gì đó như thế này nhưng có thể sâu hơn.

function check($contents,$file) {
        $this->scanned_files[] = $file;
        if(preg_match('/eval\((base64|eval|\$_|\$\$|\$[A-Za-z_0-9\{]*(\(|\{|\[))/i',$contents)) {
            $this->infected_files[] = $file;
        }
}

Ngay cả một dịch vụ có thể chạy trên máy chủ web.

Lý tưởng nhất là có một dịch vụ sẽ quét từng cam kết trước khi mã vào repo sẽ là lý tưởng.


Câu hỏi tuyệt vời. Bản chất tôi bị hoang tưởng và khi cài đặt một mô-đun mới, tôi đi và kiểm tra mã để xem có gì đáng nghi không. Vấn đề tôi đoán là cho những người không biết những gì họ đang tìm kiếm. Giống như tất cả các ứng dụng đèn pin truy cập máy ảnh và / hoặc micrô của điện thoại. Bạn không biết cho đến khi quá muộn hoặc xem xét nghiêm túc những gì bạn đang cài đặt. Điều đó đang được nói, tôi hy vọng ai đó có thể đưa ra giải pháp HOẶC Magento Connect trở nên vất vả hơn nhiều trên các mô-đun mà họ cho phép.
SR_Magento

1
Họ không thể trả tiền cho bạn để tải xuống và sau đó xem lại mã trước khi tải lên trang web của người bán mà không sử dụng Kết nối?
Kristof tại Fooman

Câu trả lời:


3

Bạn đã nghĩ về việc chạy clamav? - https://www.clamav.net/index.html - Tôi đã chạy ứng dụng này gần đây trên máy khách Ubuntu chạy magento và nó đã quay lại với hai tệp bị nhiễm - tốc độ quét rất ấn tượng và dễ dàng chạy nếu bạn có quyền truy cập SSH - bạn cũng có thể chạy thường xuyên thông qua công việc Cron.

Để chạy ngao AV trên Ubuntu

Để cài đặt ClamAV chạy lệnh sau

apt-get update
apt-get install clamav

Cập nhật thủ công cơ sở dữ liệu virus

freshclam

Bạn sẽ thấy quá trình cập nhật ClamAV bắt đầu Để quét tệp / thư mục theo cách thủ công để tìm vi-rút

clamscan -r --bell -i /

Đối với những người không có trên Ubuntu, có thể tìm thấy hướng dẫn đầy đủ tại đây https://www.clamav.net/doc/install.html


Thêm điều đó vào Linux Malware Phát hiện một cấp độ quét và sau đó liên kết với ClamAV để hoàn thành nỗ lực loại bỏ các lỗi ứng dụng php.
Phòng thí nghiệm Fiasco

FYI Clam không phát hiện ra hầu hết các phần mềm độc hại Magento mới nhất. Ngoài ra, hầu hết các phần mềm độc hại được ẩn trong cơ sở dữ liệu de, cụ thể trong các bảng này: core_config_data, cms_blocks, cms_pages. Vì vậy, bạn nên đổ chúng vào một tập tin và quét nó.
Willem

3

Có nhiều cách để làm xáo trộn mã vì vậy một giải pháp đơn giản như vậy không phải là một giải pháp ở tất cả IMO. Nếu bạn thực sự muốn khóa hệ thống của mình và ngăn chặn mã độc, tôi khuyên bạn nên:

  1. Không cho phép cài đặt các mô-đun thông qua Connect. Sử dụng repo git và cài đặt đầu tiên trên máy chủ dàn và chỉ cập nhật sản xuất qua git sau khi kiểm tra và kiểm tra kỹ lưỡng.

  2. Không bao giờ cho phép sử dụng các mô-đun với mã bị xáo trộn, bất kể nhà phát triển là ai. Yêu cầu một bản sao không bị ảnh hưởng hoặc chỉ cần tìm nơi khác. Tôi đồng cảm với các nhà phát triển mở rộng muốn ngăn chặn vi phạm bản quyền, nhưng nếu bạn lo ngại về bảo mật thì đó là một sự phá vỡ thỏa thuận.

  3. Nếu có thể hạn chế lưu lượng truy cập đi qua iptables. Điều này thật khó vì có rất nhiều API của bên thứ ba để tích hợp và họ có thể thay đổi IP bất cứ lúc nào, nhưng đó là cách chắc chắn nhất để ngăn chặn mã độc (Magento hoặc cách khác) tiếp cận.

  4. Cài đặt một công cụ theo dõi root web của bạn để thay đổi tập tin. Ví dụ, Tường lửa cấu hình máy chủ và OSSEC có các thành phần làm tốt điều này, sau khi cấu hình đúng, tất nhiên.

Nếu bạn tình cờ biết một hệ thống sẽ làm mới các mục nhập iptables hoặc Nhóm bảo mật AWS khi bản ghi DNS cập nhật, vui lòng cho tôi biết vì tôi chưa tìm thấy hoặc tự xây dựng một mục nào ..


Cảm ơn Colin, điều đó không thực sự trả lời câu hỏi: Chúng tôi làm 1 và 2. Số ba là sau thực tế và không đối phó với việc quét mã. # 4 chỉ là so sánh của mã hiện có. Chúng tôi có clamAV cũng như Sophus nhưng đã bỏ lỡ hai tệp.
brentwpeterson

2

Hãy dùng thử Trình quét phần mềm độc hại Magento , chứa bộ sưu tập chữ ký phần mềm độc hại lớn nhất hiện có công khai. Nó tải các chữ ký mới nhất, xử lý danh sách trắng và giữ trạng thái.

Nó được Magento khuyên dùng, được sử dụng bởi Magento Marketplace , Homeland Security, VISA và nhiều người khác.


1

Tôi đã tạo một mô-đun gọi là MB_ Callinghome để làm chính xác điều đó. Tiện ích mở rộng khá đơn giản, nó quan sát sự kiện đăng nhập của quản trị viên và tìm kiếm một chuỗi có thể định cấu hình với find và grep. Tiện ích mở rộng sử dụng exec () khiến nó chỉ có thể sử dụng được trong môi trường dàn dựng vì nó có thể khiến trang web bị tấn công nếu được sử dụng trong prod.


1

Có lẽ bạn có thể xem xét việc sử dụng PHP_CodeSniffer hoặc một công cụ tiêu chuẩn mã hóa tương tự. Tất nhiên bạn sẽ cần phải có một sự hiểu biết sâu sắc về hoạt động bên trong về những gì nên được coi là an toàn, nhưng bạn có thể thiết lập nó để mã sniffer sau đó gắn cờ các tệp có vấn đề.

Tôi nhớ có một câu hỏi ở đây liên quan đến lý do tại sao các tiêu chuẩn được sử dụng bởi mô-đun ở đây https://github.com/magento-ecg/coding-st Chuẩn rất nhạy cảm về các hoạt động như fopen và các hoạt động i / o tệp khác.

Sử dụng nó, ít nhất bạn có thể xác định những gì bạn có thể muốn xem xét mã nguy hiểm. Tuy nhiên, cuối cùng vẫn cần phải xem xét lại cơ sở mã. Bất cứ điều gì được gắn cờ có thể có một mã hợp pháp cho các mục đích của hoạt động mô-đun. Vì vậy, bạn không thể hoàn toàn dựa vào thử nghiệm tự động cho một cái gì đó có tính chất này không may.


0

Có các công cụ trực tuyến miễn phí mà bạn có thể sử dụng để quét cài đặt Magento từ xa. Những thứ này có thể giúp bạn xác định các giao dịch thẻ tín dụng, tải trọng độc hại, tên miền trung gian và các vấn đề bảo mật khác.

https://sitecheck.sucuri.net/

https://www.magereport.com/

http://www.unmaskparasites.com/

http://webscan.forengenix.com/

https://github.com/gwillem/magento-malware-scanner/

https://magescan.com/

https://www.virustotal.com/

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.