Làm gì để chống lại lỗ hổng mới nhất: dữ liệu thẻ tín dụng bị đánh cắp?


11

Sau khi tin tức được đưa ra vài ngày trước, tôi đã không nghe thấy nhiều - và không có tuyên bố chính thức nào - về lỗ hổng mới nhất. Sucuri nói rằng có thể nhận thông tin thẻ tín dụng hoặc thậm chí tất cả các dữ liệu $_POSTbao gồm mật khẩu quản trị viên và những thứ tương tự.

Tôi chưa có trường hợp khách hàng nào bị hack, nhưng không muốn đợi cho đến khi điều này xảy ra để hành động. Có ai nhìn thấy một bản vá chưa?


Đưa ra bài viết mới nhất của Sucuri, bạn cũng có thể quan tâm đến (các) câu trả lời của @Ben Lessani (Sonassi) tại đây: magento.stackexchange.com/a/72697/231
Anna Völkl

Câu trả lời:


8

Những loại bản vá hoặc tuyên bố chính thức mà bạn mong đợi? Bài đăng trên blog chỉ nói rằng một ứng dụng web có thể bị xâm phạm khi kẻ tấn công có quyền truy cập vào mã. Điều đó áp dụng cho mỗi và mọi ứng dụng web. Thuật ngữ Magento hoàn toàn có thể thay thế cho nhau. Hiện tại, họ không có manh mối về việc máy chủ bị ảnh hưởng bị xâm phạm như thế nào. Cánh cửa mở trong các ví dụ đã cho có thể là tất cả mọi thứ, từ các vấn đề máy chủ đến "lớp 8".

Chừng nào họ còn mơ hồ và không đưa ra được thông tin có giá trị, tất cả sẽ tiếp thị khá nhiều như truyền bá tên công ty của họ, tạo sóng, định vị mình là chuyên gia bảo mật, v.v. Kết hợp các từ thông dụng như "đánh cắp" "thẻ tín dụng" " Magento "làm cho một câu chuyện hay rõ ràng.

Những gì chúng ta vẫn có thể học được từ bài viết này:

  • Thường xuyên xem codebase của bạn cho những thay đổi bất ngờ.
  • Để lại xử lý dữ liệu thanh toán cho PSP.

Cập nhật: Có một tuyên bố chính thức của Ben Marks ngay bây giờ.


Vâng, tôi biết rằng nguồn này là không cụ thể. Tôi cũng không biết liệu họ đã liên lạc với Magento / eBay về vấn đề này chưa. Dù sao, vẫn có khả năng (và đã xảy ra hai lần trong những tháng qua) rằng đó là lỗi cốt lõi và tôi đã mong đợi ít nhất là một tuyên bố như "chúng tôi đang điều tra" hoặc "không phải lỗi của chúng tôi, một số mô-đun".
simonthesorcerer

Tôi đồng ý rằng nguyên nhân cơ bản cũng có thể là một trong hàng ngàn tiện ích mở rộng ngoài đó hoặc bất kỳ phiên bản Magento nào (chưa được vá). Vẫn còn quá ít thông tin để thực hiện mục tiêu imho.
mam08ixo

3

Miễn là phiên bản Magento của bạn được cập nhật, bạn đã cài đặt tất cả các bản vá mới nhất và máy chủ của bạn đáp ứng thực tiễn tốt nhất về cài đặt (quyền tệp, không phải phần mềm / trang web khác đang chạy, tường lửa, v.v.) đây là tất cả những gì bạn có thể làm ngay bây giờ .

Tôi nghĩ điều quan trọng cần đề cập là chưa có vectơ tấn công cụ thể nào:

Vậy tấn công hoạt động như thế nào? Chúng tôi vẫn đang điều tra các vectơ tấn công. Dường như kẻ tấn công đang khai thác lỗ hổng trong lõi Magento hoặc một số mô-đun / tiện ích mở rộng được sử dụng rộng rãi.

Biên tập:

Như đã đề cập trong nhận xét của tôi ở trên, bạn cũng có thể xem câu trả lời chi tiết của Ben Lessani cho một câu hỏi liên quan khác cung cấp một số thông tin cơ bản: /magento//a/72697/231


2

Không (chỉ) Magento

Tôi đã thấy nhiều trang web khác bị tấn công theo cách này, chèn mã độc vào cơ sở mã và không chỉ trong Magento. Và có nhiều biến thể: tập lệnh đánh cắp dữ liệu POST, tập lệnh thêm XSS, tập lệnh cố gắng đánh cắp mật khẩu gốc, tập lệnh cho phép các cuộc gọi đến xử lý dữ liệu (để khai thác Bitcoin, gửi email spam từ máy chủ đó), v.v ...

Trong một số trường hợp, nguyên nhân đã bị đánh cắp thông tin đăng nhập FTP (do vi-rút / phần mềm độc hại) từ máy khách trong các trường hợp khác, nó đã sử dụng khai thác trong ứng dụng.

Có nhiều ứng dụng khác có thể cung cấp quyền truy cập vào máy chủ thông qua khai thác, ví dụ như WordPress.

Chỉ có một trường hợp mà Magento sẽ bị đổ lỗi và một hành động từ Magento sẽ được mong đợi và đó là: nếu ứng dụng được khai thác sẽ là Magento của phiên bản mới nhất và được vá đầy đủ.

Vì vậy, chỉ có một cơ hội nhỏ trường hợp nổi bật này là do lỗi ở Magento ngay từ đầu. Đó là lý do tại sao bạn không nghe thấy gì từ Magento.

Điều mới ở đây là mã được chèn rất đặc biệt nhắm mục tiêu Magento và sử dụng các nguyên tắc và kiến ​​trúc mã của Magento.

Phải làm gì

Bây giờ để đưa ra một số câu trả lời cho câu hỏi của bạn "Làm gì để chống lại nó?"

  • Không bao giờ chạy hai ứng dụng khác nhau trên cùng một máy chủ
    như WordPress + Magento. Đôi khi bạn thấy WordPress chạy trên như trong www.magentoshop.com/blog/ hoặc Magento chạy trên www.wordpresswebsite.com/shop/. Đừng làm vậy. Khai thác trong WordPress có thể cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu Magento của bạn.

  • Sử dụng Hệ thống kiểm soát phiên bản
    Tôi đang sử dụng GIT và cũng có hệ thống này trên máy chủ (chỉ truy cập đọc) để triển khai trang web. Điều này cũng cho tôi cái nhìn sâu sắc nhanh chóng về những thay đổi trên hệ thống bằng cách chạy git status.

  • Không bao giờ sử dụng FTP, chỉ SFTP, không bao giờ lưu trữ mật khẩu
    mà tôi đã đề cập ở trên rằng mật khẩu FTP đã bị đánh cắp từ máy khách. Ngoài ra sử dụng FTP không an toàn vì nó sẽ gửi dữ liệu không được mã hóa thông qua internet. Vì vậy, hãy sử dụng SFTP và không bao giờ lưu trữ mật khẩu của bạn trong ứng dụng FTP của bạn, đừng lười biếng và nhập chúng mỗi khi bạn kết nối với máy chủ của mình.


Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.