Cửa hàng Magento không an toàn


15

Gần đây tôi đã tiếp quản quản lý một cửa hàng Magento. Hôm qua chúng tôi đã nhận được một email từ một công ty CNTT nói rằng cửa hàng của chúng tôi không an toàn. Mặc dù tôi nghi ngờ tính hợp pháp của email, nó đã hiển thị đơn hàng cuối cùng trong cửa hàng, số lượng khách hàng đã đăng ký và sản phẩm được thêm vào cuối cùng.

Vì gần đây tôi đã trở thành quản trị viên, sau khi nhận ra, tôi không biết chính xác những biện pháp bảo mật nào đã được thực hiện. Những điều sau đây tôi biết chắc chắn:

  • Có một đường dẫn tùy chỉnh cho bảng quản trị
  • Dữ liệu được gửi qua https
  • Mật khẩu quản trị viên là một chuỗi các chữ cái viết thường hoặc viết hoa ngẫu nhiên

Nếu thư này là hợp pháp, làm thế nào tôi có thể khắc phục vấn đề này?


1
thêm vào danh sách: loggin quản trị viên không phải là "quản trị viên" hay "quản trị viên"
nicolallias

1
Nếu bạn không được vá ở các cấp độ bản vá mới nhất, việc thay đổi đường dẫn quản trị viên là một sự lãng phí thời gian vì thật dễ dàng để Magento phơi bày con đường bị che khuất. Hãy chắc chắn rằng cài đặt của bạn đã có tất cả các bản vá bảo mật được áp dụng.
Phòng thí nghiệm Fiasco

Câu trả lời:


7

Bạn đã cài đặt tất cả các bản vá? https: //www.magentoc Commerce.com/doad#cat_1735_files

Sau khi áp dụng các bản vá, thay đổi tất cả mật khẩu quản trị viên.

Và bất cứ mô-đun bên thứ ba nào được cài đặt, có thể làm bất cứ điều gì họ muốn, ví dụ như tạo ra các lỗ hổng bảo mật lớn trong magento.



3

Dựa trên mô tả của OP, thật khó để xác định trạng thái hiện tại của hệ thống đối với Magento bị xâm nhập. Thật không may, như tôi thảo luận dưới đây, cài đặt các bản sửa lỗi sẽ không giải quyết vấn đề của bạn nếu bạn đã bị xâm phạm. Họ chỉ ngăn chặn các cuộc tấn công trong tương lai, Họ KHÔNG LÀM GÌ ĐỂ CỐ ĐỊNH MỘT HỆ THỐNG R ALNG ĐƯỢC CẠNH TRANH.

Chúng tôi đã ghi lại nghiên cứu của chúng tôi để cung cấp một danh sách các chữ ký tấn công đã biết để bạn có thể kiểm tra hệ thống của mình để tìm bằng chứng về chúng và phản hồi tương ứng. Hãy nhớ rằng chúng tôi chưa bao giờ thấy hai thỏa hiệp giống hệt nhau, vì vậy có khả năng hệ thống cụ thể của bạn có thể hơi khác một chút - nếu bạn phát hiện ra bất cứ điều gì trên hệ thống của bạn mà chúng tôi chưa có tài liệu, vui lòng chia sẻ với chúng tôi chúng tôi có thể cập nhật hướng dẫn chữ ký tấn công hoặc chỉ cần rẽ nhánh, cập nhật và gửi yêu cầu kéo.

Chúng tôi đang làm việc trên một bộ công cụ để tự động khắc phục các mục này nhưng có thể là một hoặc hai tuần cho đến khi nó sẵn sàng để phân phối. Trong khi đó, chúng tôi chia sẻ kiến ​​thức mà chúng tôi có được khi thực hiện các thỏa hiệp này với mọi người trong cộng đồng nhằm đảm bảo mọi người đều an toàn như mong đợi.

Tôi đang bao gồm Quy trình phân tích và phản hồi bảo mật 3 bước bên dưới mà chúng tôi đã làm việc nhiều lần để có kết quả nhất quán. Giả định chính mà bạn sẽ phải đưa ra là bạn không thể biết những gì đã hoặc chưa bị xâm phạm cho đến khi bạn làm khác các tệp trong hệ thống của mình so với mã nguồn mặc định do Magento cung cấp hoặc bản sao bạn đã tạo trong Kho lưu trữ (Git / Mercurial / SVN). BẠN NÊN ĐÁNH GIÁ rằng cơ sở dữ liệu và thông tin đăng nhập của bạn đã bị xâm phạm và thay đổi tất cả.

LƯU Ý TIÊU CHUẨN: Cài đặt các bản vá từ Magento SILL KHÔNG giúp bạn nếu bạn đã bị xâm phạm. Tốt nhất, nó sẽ ngăn chặn các thỏa hiệp BỔ SUNG của các loại đã biết, nhưng nếu bạn đã bị xâm phạm thì bạn sẽ phải cài đặt các bản vá và khắc phục hệ thống của bạn như chúng tôi nhấn mạnh bên dưới.

Giai đoạn 1: Xác định phạm vi thỏa hiệp của bạn. Mỗi và một trong những mục tôi liệt kê dưới đây là chữ ký chúng tôi đã phát hiện trên các trang web Magento bị xâm nhập đặc biệt liên quan đến thông báo lỗ hổng SUPEE-5344 và SUPEE-5994. Sau khi bạn đã cài đặt các bản vá gần đây nhất ( và bất kỳ bản vá nào khác mà bạn có thể cần cài đặt từ Magento ), bạn cần phải đi qua từng bản và kiểm tra xem bạn có tìm thấy bất kỳ bằng chứng nào về chữ ký trên hệ thống của mình không. Nhiều người trong số họ là đủ để cho phép kẻ tấn công vào lại hệ thống của bạn sau khi bạn vá nó, vì vậy bạn sẽ phải siêng năng và đảm bảo rằng bạn không bỏ qua bất cứ điều gì hoặc không khắc phục được.

Bạn cũng có thể sử dụng máy quét trực tuyến từ Magento , nhưng nói chung, những thứ này sẽ chỉ cho bạn biết nếu bạn đã cài đặt các bản vá và ngăn chặn sự thỏa hiệp trong tương lai. Nếu bạn đã bị xâm nhập, chúng sẽ không quét các cửa sau hoặc các cuộc tấn công khác có thể đã được cài đặt khi bạn bị tấn công lần đầu tiên. ít nhất không ai trong số chúng tôi đã thử nghiệm tìm thấy chữ ký mà chúng tôi đã phát hiện ra. Bảo vệ theo chiều sâu là con đường để đi, có nghĩa là nhiều lần quét và đánh giá từ nhiều công cụ và quan điểm nếu bạn muốn tự tin vào kết quả.

Giai đoạn 2: Xóa những gì bạn phải và thay thế những gì bạn có thể: sử dụng các tệp gốc từ kho lưu trữ của bạn hoặc các tệp nguồn Magento. Nếu bạn không chạy một trong những phiên bản mới nhất, bạn vẫn có thể sử dụng trang tải xuống Magento để lấy các nguồn phiên bản cũ hơn từ trang web của họ.

Giai đoạn 3: Đặt lại thông tin xác thực: Kiểm kê mỗi lần sử dụng tên đăng nhập và mật khẩu liên quan đến việc triển khai của bạn và đặt lại tất cả, bao gồm

  • Đăng nhập tài khoản Merchant và khóa API
  • Đăng nhập và mật khẩu quản trị viên Magento
  • Thông tin tài khoản email
  • LDAP / AD / Hệ thống xác thực chính
  • Mật khẩu
  • MỌI ĐIỀU
  • Bạn có thể chắc chắn một cách hợp lý rằng các bước trước sẽ giúp bạn thanh lọc những người bị nhiễm bệnh nhưng bạn không thể biết liệu mật khẩu đã bị đánh hơi hoặc khóa được ghi lại hay là nạn nhân của một số cuộc tấn công khác, vì vậy, đặt lại tất cả thông tin liên quan là lựa chọn an toàn nhất nếu bạn định cố gắng khắc phục một hệ thống bị xâm nhập.

Hướng dẫn quá dài để đăng trong phản hồi này nhưng danh sách chữ ký có thể được tải xuống ngay lập tức tại kho lưu trữ GitHub của Bộ công cụ bảo mật Magento của chúng tôi .


2

Những điều bạn đã liệt kê là những bước đầu tiên tốt nhưng chúng không phải là những điều duy nhất bạn cần làm để bảo mật trang web của mình.

Chính xác những gì không an toàn về trang web của bạn sẽ không ai có thể trả lời, ít nhất là không nhìn vào trang web của bạn. Nó thực sự phụ thuộc vào thiết lập của bạn, ví dụ nếu bạn đang sử dụng apache hoặc nginx, chúng có được cấu hình đúng không? Bạn đã cài đặt tất cả các bản vá bảo mật magento mới nhất ?

Nếu họ có thể cho bạn biết về đơn đặt hàng cuối cùng và số lượng khách hàng đã đăng ký, tôi sẽ thực hiện nghiêm túc ...


0

Mặc dù tôi nghi ngờ tính hợp pháp của email, nó đã hiển thị đơn hàng cuối cùng trong cửa hàng, số lượng khách hàng đã đăng ký và sản phẩm được thêm vào cuối cùng.

Nghe có vẻ hợp pháp ...

Tôi không nghĩ rằng điều này đã được đề cập, nhưng một số email câu cá này có thể là từ các công ty ok, và nó có thể có giá trị ít nhất là xem những gì họ sẽ tính phí để khắc phục vấn đề. (Nghe có vẻ như họ sẽ có một ý tưởng tốt để bắt đầu từ đâu) Nếu công ty có vẻ mờ ám thì có, tránh.

Có một số điểm tốt ở trên; nếu bạn sẽ tự làm điều này, bạn cần phải phân biệt các tệp với các điểm bắt đầu đã biết hoặc có thể dễ dàng hơn (tùy thuộc vào thiết lập của bạn) là cài đặt Magento mới trên máy chủ khác và đi từ đó (cài đặt các phiên bản mới của bất kỳ tiện ích mở rộng nào bạn có, nhập sản phẩm (có thể nhanh chóng bằng công cụ như Magmi) và cuối cùng xuất đơn hàng / khách hàng của bạn từ trang web hiện tại, sau đó nhập vào thiết lập mới).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.