Toko Magento tidak aman

15

Baru-baru ini saya mengambil alih manajemen toko Magento. Kemarin kami menerima email dari perusahaan IT yang menyatakan toko kami tidak aman. Walaupun saya meragukan keabsahan email, email itu memang menunjukkan pesanan terakhir di toko, jumlah pelanggan terdaftar dan produk terakhir yang ditambahkan.

Karena saya baru-baru ini menjadi admin, setelah realisasi, saya tidak tahu persis langkah keamanan apa yang telah diambil. Hal-hal berikut yang saya tahu pasti:

  • Ada jalur khusus untuk panel admin
  • Data dikirim melalui https
  • Kata sandi admin adalah serangkaian huruf kecil atau huruf besar acak

Jika email ini sah, bagaimana saya bisa memperbaiki masalah ini?

Dave
sumber
1
tambahkan ke daftar: admin loggin bukan "admin 'atau' administrator"
nicolallias
1
Jika Anda tidak ditambal ke tingkat tambalan terbaru, mengubah jalur admin adalah waktu yang menggelikan karena cukup mudah untuk membuat Magento mengekspos jalan yang dikaburkan. Pastikan instalasi Anda telah menerapkan semua tambalan keamanan.
Fiasco Labs

Jawaban:

7

Apakah Anda menginstal semua tambalan? https://www.magentocommerce.com/download#cat_1735_files

Setelah menerapkan tambalan, ubah semua kata sandi admin.

Dan modul pihak ketiga apa pun yang diinstal, dapat melakukan apa pun yang mereka inginkan, misalnya membuat lubang keamanan besar di magento.

Fabian Blechschmidt
sumber
3

Berdasarkan uraian OP, sulit untuk menentukan kondisi sistem saat ini sehubungan dengan Magento yang dikompromikan. Sayangnya, seperti yang saya bahas di bawah ini, menginstal perbaikan tidak akan menyelesaikan masalah Anda jika Anda sudah dikompromikan. Mereka hanya menghentikan serangan di masa depan, Mereka TIDAK MELAKUKAN APA SAJA UNTUK MEMPERBAIKI SISTEM YANG SUDAH DI KOMPROMI.

Kami telah mendokumentasikan penelitian kami untuk memberikan daftar tanda tangan serangan yang diketahui sehingga Anda dapat memeriksa sistem Anda untuk bukti mereka dan meresponsnya. Ingatlah bahwa kami belum pernah melihat dua kompromi yang persis sama, jadi ada kemungkinan sistem Anda mungkin sedikit berbeda - jika Anda menemukan sesuatu pada sistem Anda yang belum kami dokumentasikan, silakan bagikan dengan kami begitu kami dapat memperbarui panduan tanda tangan serangan atau hanya garpu, memperbarui dan mengirimkan permintaan tarik.

Kami sedang mengerjakan toolkit untuk mengotomatisasi perbaikan item ini, tetapi mungkin satu atau dua minggu hingga siap untuk distribusi. Sementara itu, kami berbagi pengetahuan yang kami peroleh melalui kompromi ini dengan semua orang di komunitas dalam upaya untuk memastikan semua orang seaman yang bisa diharapkan.

Saya menyertakan 3-Langkah Analisis Keamanan & Proses Respons di bawah ini yang telah kami kerjakan berulang kali untuk mendapatkan hasil yang konsisten. Asumsi kunci yang harus Anda buat adalah bahwa Anda tidak dapat mengetahui apa yang telah atau belum dikompromikan hingga Anda mendiferensi file dalam sistem Anda terhadap kode sumber default yang disediakan oleh Magento atau salinan yang Anda buat di Repositori (Git / Mercurial / SVN). ANDA HARUS berasumsi bahwa database dan login Anda telah disusupi dan ubah semuanya.

CATATAN KRITIS: Memasang tambalan dari Magento TIDAK AKAN membantu Anda jika Anda telah dikompromikan. Paling-paling, itu akan menghentikan kompromi TAMBAHAN dari jenis yang diketahui, tetapi jika Anda sudah dikompromikan maka Anda harus KEDUA menginstal tambalan dan memperbaiki sistem Anda seperti yang kami sorot di bawah ini.

Fase 1: Identifikasi ruang lingkup kompromi Anda. Masing-masing dan setiap item yang saya cantumkan di bawah ini adalah tanda tangan yang kami temukan di situs Magento yang dikompromikan, khususnya yang berkaitan dengan pengumuman kerentanan SUPEE-5344 dan SUPEE-5994. Setelah menginstal tambalan terbaru ( dan tambalan lain yang mungkin perlu Anda instal dari Magento ), Anda harus memeriksa setiap tambalan dan memeriksa untuk melihat apakah Anda menemukan bukti tanda tangan di sistem Anda. Banyak dari mereka cukup sendiri untuk memungkinkan penyerang memasuki kembali sistem Anda setelah Anda menambalnya, jadi Anda harus rajin dan memastikan Anda tidak melewatkan apa pun atau gagal memulihkannya.

Anda juga dapat menggunakan pemindai online dari Magento , tetapi pada umumnya ini hanya akan memberi tahu Anda jika Anda telah menginstal tambalan dan mencegah kompromi di masa depan. Jika Anda sudah dikompromikan, ini tidak akan memindai pintu belakang lain atau serangan yang mungkin telah diinstal ketika Anda pertama kali diserang. setidaknya tidak satu pun dari yang kami uji menemukan tanda tangan yang kami temukan. Pertahanan mendalam adalah cara yang harus dilakukan, yang berarti banyak pemindaian dan ulasan dari berbagai alat dan perspektif jika Anda ingin percaya diri dalam hasilnya.

Fase 2: Hapus apa yang Anda harus, dan ganti apa yang Anda bisa: gunakan file asli dari repositori Anda atau file sumber Magento. Jika Anda tidak menjalankan salah satu versi terbaru, Anda masih dapat menggunakan halaman unduhan Magento untuk mengambil sumber versi yang lebih lama dari situs mereka.

Fase 3: Kredensial RESET: Inventarisasi setiap penggunaan nama login dan kata sandi yang terkait dengan penyebaran Anda dan atur ulang semuanya, termasuk

  • Login Akun Pedagang dan Kunci API
  • Login Admin & Kata Sandi Magento
  • Kredensial akun email
  • LDAP / AD / Sistem Otentikasi Utama
  • Kata sandi
  • SEGALA SESUATU
  • Anda dapat yakin bahwa langkah-langkah sebelumnya akan membantu Anda membersihkan fies yang terinfeksi tetapi Anda tidak dapat mengetahui apakah kata sandi telah diendus atau kunci dicatat atau korban dari beberapa serangan lain, sehingga mengatur ulang semua kredensial terkait adalah pilihan paling aman jika Anda akan upaya untuk memulihkan sistem yang dikompromikan.

Panduan ini terlalu panjang untuk dikirim dalam respons ini tetapi daftar tanda tangan dapat segera diunduh di repositori GitHub Toolkit Magento kami .

Bryan 'BJ' Hoffpauir Jr.
sumber
2

Hal-hal yang telah Anda daftarkan adalah langkah pertama yang baik tetapi tidak berarti satu-satunya hal yang perlu Anda lakukan untuk membuat situs Anda aman.

Persisnya apa yang tidak aman tentang situs Anda tidak akan ada yang bisa menjawab, setidaknya tanpa melihat situs Anda. Ini benar-benar tergantung pada pengaturan Anda, misalnya jika Anda menggunakan apache atau nginx, apakah mereka dikonfigurasi dengan benar? Sudahkah Anda menginstal semua patch keamanan magento terbaru ?

Jika mereka dapat memberi tahu Anda tentang pesanan terakhir dan jumlah pelanggan terdaftar, saya akan menganggapnya serius ...

Andrew Kett
sumber
0

Walaupun saya meragukan keabsahan email, email itu memang menunjukkan pesanan terakhir di toko, jumlah pelanggan terdaftar dan produk terakhir yang ditambahkan.

Kedengarannya sah ...

Saya tidak berpikir ini telah disebutkan, tetapi beberapa dari email memancing ini bisa dari perusahaan yang baik, dan bisa bernilai setidaknya melihat apa yang mereka tetapkan untuk memperbaiki masalah. (Sepertinya mereka akan memiliki ide yang baik di mana untuk memulai) Jika perusahaan tampak teduh maka ya, hindari.

Ada beberapa poin bagus di atas; jika Anda akan melakukan ini sendiri, Anda perlu melakukan diff file terhadap titik awal yang diketahui, atau, mungkin lebih mudah (tergantung pada pengaturan Anda) adalah menginstal Magento segar di server lain, dan pergi dari sana (instal versi segar dari setiap ekstensi yang Anda miliki, impor produk (bisa cepat menggunakan alat seperti Magmi), dan akhirnya ekspor pesanan / pelanggan Anda dari situs saat ini, dan kemudian impor ke pengaturan baru).

Jim Moo
sumber