ร้านวีโอไอพีไม่ปลอดภัย


15

เมื่อเร็ว ๆ นี้ฉันเข้าควบคุมฝ่ายบริหารของ Magento store เมื่อวานนี้เราได้รับอีเมลจาก บริษัท ไอทีที่ระบุว่าร้านค้าของเราไม่ปลอดภัย แม้ว่าฉันจะสงสัยความถูกต้องของอีเมล แต่ก็แสดงคำสั่งสุดท้ายในร้านค้าจำนวนลูกค้าที่ลงทะเบียนและผลิตภัณฑ์ที่เพิ่มล่าสุด

เมื่อไม่นานมานี้ฉันกลายเป็นผู้ดูแลระบบหลังจากที่รับรู้ฉันไม่ทราบแน่ชัดว่ามาตรการความปลอดภัยใดถูกนำไปใช้ สิ่งต่อไปนี้ฉันรู้แน่นอน:

  • มีเส้นทางที่กำหนดเองสำหรับแผงผู้ดูแลระบบ
  • ข้อมูลถูกส่งผ่าน https
  • รหัสผ่านของผู้ดูแลระบบคือสตริงที่มีตัวอักษรตัวพิมพ์เล็กหรือตัวพิมพ์ใหญ่สุ่ม

หากเมลนี้ถูกต้องฉันจะแก้ไขปัญหานี้ได้อย่างไร


1
เพิ่มในรายการ: loggin ผู้ดูแลระบบไม่ได้เป็น "ผู้ดูแลระบบ" หรือ "ผู้ดูแลระบบ"
nicolallias

1
หากคุณไม่ได้รับการแพตช์ในระดับแพตช์ล่าสุดการเปลี่ยนเส้นทางผู้ดูแลระบบเป็นเรื่องเสียเวลาเพราะมันค่อนข้างง่ายที่จะให้ Magento เปิดเผยเส้นทางที่สับสน ตรวจสอบให้แน่ใจว่าการติดตั้งของคุณใช้งานแพตช์ความปลอดภัยทั้งหมดแล้ว
Fiasco Labs

คำตอบ:


7

คุณติดตั้งแพตช์ทั้งหมดหรือไม่ https://www.magentocommerce.com/download#cat_1735_files

หลังจากใช้ชุดข้อมูลแก้ไขรหัสผ่านผู้ดูแลระบบทั้งหมด

และสิ่งที่โมดูลบุคคลที่สามมีการติดตั้งสามารถทำสิ่งที่พวกเขาต้องการเช่นทำให้รูโหว่ขนาดใหญ่ในวีโอไอพี


4

ตรวจสอบความปลอดภัยร้านค้าของคุณที่https://shoplift.byte.nl/

ตรวจสอบบัญชีแบ็กเอนด์ของคุณลบที่พวกเขาต้องการ

ติดตั้งแพตช์ทั้งหมด ที่http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/คุณสามารถดูได้ว่าแพทช์ใดที่คุณต้องการ

ตรวจสอบโมดูลของบุคคลที่สามถ้าคุณทำได้


3

จากคำอธิบายของ OP เป็นการยากที่จะกำหนดสถานะปัจจุบันของระบบเกี่ยวกับ Magento ที่ถูกบุกรุก น่าเสียดายที่ฉันกล่าวถึงด้านล่างการติดตั้งการแก้ไขจะไม่ช่วยแก้ปัญหาของคุณหากคุณถูกบุกรุก พวกเขาหยุดการโจมตีในอนาคตเท่านั้นพวกเขาไม่ได้ทำอะไรเพื่อแก้ไขระบบที่มีการโจมตีอยู่แล้ว

เราได้จัดทำเอกสารการวิจัยของเราเพื่อให้รายการของลายเซ็นการโจมตีที่รู้จักเพื่อให้คุณสามารถตรวจสอบระบบของคุณเพื่อหาหลักฐานของพวกเขาและตอบสนองตามนั้น โปรดทราบว่าเราไม่เคยเห็นการประนีประนอมสองประการที่เหมือนกันดังนั้นมีโอกาสระบบของคุณอาจแตกต่างกันเล็กน้อย - หากคุณค้นพบอะไรในระบบของคุณที่เรายังไม่มีเอกสารโปรดแชร์สิ่งนั้นกับเรา เราสามารถอัปเดตคำแนะนำการโจมตีหรือเพียงแค่แยกอัปเดตและส่งคำขอการดึง

เรากำลังดำเนินการเกี่ยวกับชุดเครื่องมือเพื่อทำการแก้ไขรายการเหล่านี้โดยอัตโนมัติ แต่อาจใช้เวลาหนึ่งหรือสองสัปดาห์จนกว่ามันจะพร้อมสำหรับการเผยแพร่ ในระหว่างนี้เรากำลังแบ่งปันความรู้ที่เราได้รับจากการทำงานผ่านการประนีประนอมกับทุกคนในชุมชนเพื่อให้มั่นใจว่าทุกคนปลอดภัยเท่าที่ควร

ฉันกำลังรวมขั้นตอนการวิเคราะห์ความปลอดภัยและการตอบกลับ 3 ขั้นตอนด้านล่างที่เราได้ทำซ้ำแล้วซ้ำอีกเพื่อให้ได้ผลลัพธ์ที่สอดคล้องกัน สมมติฐานหลักที่คุณจะต้องทำก็คือคุณไม่สามารถรู้ได้ว่าอะไรหรือไม่ได้ถูกบุกรุกจนกว่าคุณจะกระจายไฟล์ในระบบของคุณกับซอร์สโค้ดเริ่มต้นที่ได้รับจาก Magento หรือสำเนาที่คุณทำไว้ใน ที่เก็บข้อมูล (Git / Mercurial / SVN) คุณควรสันนิษฐานว่าฐานข้อมูลและการเข้าสู่ระบบของคุณถูกบุกรุกและไปเปลี่ยนแปลงทั้งหมด

บทวิจารณ์ที่สำคัญ:การติดตั้งแพตช์จาก Magento จะไม่ช่วยคุณหากคุณถูกบุกรุกแล้ว ที่ดีที่สุดมันจะหยุดการประนีประนอมเพิ่มเติมของประเภทที่รู้จัก แต่ถ้าคุณถูกโจมตีอยู่แล้วคุณจะต้องติดตั้งแพทช์และแก้ไขระบบของคุณในขณะที่เราเน้นด้านล่าง

ขั้นตอนที่ 1:ระบุขอบเขตของการประนีประนอมของคุณ แต่ละรายการที่ฉันแสดงด้านล่างเป็นลายเซ็นที่เราค้นพบในเว็บไซต์ Magento ที่เกี่ยวข้องกับการประกาศช่องโหว่ของ SUPEE-5344 และ SUPEE-5994 โดยเฉพาะ หลังจากที่คุณติดตั้งแพตช์ล่าสุด ( และอื่น ๆ ที่คุณอาจต้องติดตั้งจาก Magento ) คุณจะต้องผ่านแต่ละอันและตรวจสอบเพื่อดูว่าคุณพบหลักฐานของลายเซ็นในระบบของคุณหรือไม่ หลายคนเพียงพอที่จะอนุญาตให้ผู้โจมตีเข้าสู่ระบบของคุณอีกครั้งหลังจากที่คุณทำการแก้ไขดังนั้นคุณจะต้องขยันและให้แน่ใจว่าคุณไม่ข้ามอะไรหรือไม่สามารถแก้ไขได้

นอกจากนี้คุณยังสามารถใช้เครื่องสแกนออนไลน์จาก Magentoได้ แต่โดยขนาดใหญ่เครื่องมือนี้จะบอกคุณว่าคุณได้ติดตั้งโปรแกรมแก้ไขและป้องกันการบุกรุกในอนาคตหรือไม่ หากคุณถูกโจมตีแล้วสิ่งเหล่านี้จะไม่สแกนหาประตูหลังหรือการโจมตีอื่น ๆ ที่อาจถูกติดตั้งเมื่อคุณถูกโจมตีครั้งแรก อย่างน้อยไม่มีสิ่งใดที่เราทดสอบพบลายเซ็นที่เราค้นพบ การป้องกันในเชิงลึกเป็นวิธีการดำเนินการซึ่งหมายถึงการสแกนและตรวจสอบหลายรายการจากเครื่องมือและมุมมองที่หลากหลายหากคุณต้องการมั่นใจในผลลัพธ์

ขั้นตอนที่ 2:ลบสิ่งที่คุณต้องและแทนที่สิ่งที่คุณสามารถ: ใช้ไฟล์ต้นฉบับจากพื้นที่เก็บข้อมูลของคุณหรือไฟล์ต้นฉบับ Magento หากคุณไม่ได้ใช้เวอร์ชันล่าสุดคุณยังสามารถใช้หน้าดาวน์โหลด Magento เพื่อดึงแหล่งที่มาของเวอร์ชั่นเก่าจากเว็บไซต์ของพวกเขา

ขั้นตอนที่ 3: RESET Credentials: สินค้าคงคลังทุกครั้งที่ใช้ชื่อเข้าสู่ระบบและรหัสผ่านที่เกี่ยวข้องกับการปรับใช้ของคุณจากระยะไกลและรีเซ็ตทั้งหมดรวมถึง

  • การเข้าสู่ระบบบัญชีผู้ค้าและคีย์ API
  • การเข้าสู่ระบบของผู้ดูแลระบบ Magento & รหัสผ่าน
  • ข้อมูลบัญชีอีเมล
  • ระบบตรวจสอบสิทธิ์ LDAP / AD / หลัก
  • รหัสผ่าน
  • ทุกอย่าง
  • คุณสามารถมั่นใจได้อย่างสมเหตุสมผลว่าขั้นตอนก่อนหน้านี้จะช่วยให้คุณกำจัดความผิดพลาดจากการติดเชื้อ แต่คุณไม่สามารถรู้ได้ว่ารหัสผ่านถูกขโมยหรือกุญแจเข้าสู่ระบบหรือเป็นเหยื่อของการโจมตีอื่น ๆ ดังนั้นการตั้งค่าข้อมูลรับรองที่เกี่ยวข้องทั้งหมด พยายามแก้ไขระบบที่ถูกบุกรุก

คู่มือยาวเกินไปที่จะโพสต์ในการตอบกลับนี้ แต่สามารถดาวน์โหลดรายการลายเซ็นได้ทันทีที่ที่เก็บMagento Security Toolkit GitHub ของเรา


2

สิ่งที่คุณระบุไว้เป็นขั้นตอนแรกที่ดี แต่ไม่ได้มีเพียงสิ่งเดียวที่คุณต้องทำเพื่อทำให้เว็บไซต์ของคุณปลอดภัย

สิ่งที่ไม่ปลอดภัยเกี่ยวกับเว็บไซต์ของคุณจะไม่มีใครสามารถตอบได้อย่างน้อยก็โดยไม่ต้องดูไซต์ของคุณ มันขึ้นอยู่กับการตั้งค่าของคุณเช่นถ้าคุณใช้ apache หรือ nginx พวกมันถูกตั้งค่าอย่างถูกต้องหรือไม่? คุณได้ติดตั้งแพตช์รักษาความปลอดภัยคุณภาพเยี่ยมล่าสุดแล้วหรือยัง?

หากพวกเขาสามารถบอกคุณเกี่ยวกับการสั่งซื้อครั้งสุดท้ายและจำนวนลูกค้าที่ลงทะเบียนฉันจะให้ความสำคัญกับมัน ...


0

แม้ว่าฉันจะสงสัยความถูกต้องของอีเมลแต่ก็แสดงคำสั่งสุดท้ายในร้านค้าจำนวนลูกค้าที่ลงทะเบียนและผลิตภัณฑ์ที่เพิ่มล่าสุด

นั่นฟังดูสิ ...

ฉันไม่คิดว่าจะมีการพูดถึงเรื่องนี้ แต่อีเมลประมงเหล่านี้บางส่วนอาจมาจาก บริษัท ที่ตกลงและอาจคุ้มค่าอย่างน้อยเมื่อเห็นว่าพวกเขาจะต้องเสียค่าใช้จ่ายใดในการแก้ไขปัญหา (ดูเหมือนว่าพวกเขาจะมีความคิดที่ดีที่จะเริ่มต้น) หาก บริษัท ดูเหมือนร่มรื่นแล้วใช่หลีกเลี่ยง

มีบางจุดที่ดีอยู่ด้านบน หากคุณกำลังจะทำสิ่งนี้ด้วยตัวคุณเองคุณจำเป็นต้องกระจายไฟล์กับจุดเริ่มต้นที่รู้จักหรืออาจจะง่ายกว่า (ขึ้นอยู่กับการตั้งค่าของคุณ) คือการติดตั้ง Magento ใหม่บนเซิร์ฟเวอร์อื่นและไปจากที่นั่น ส่วนขยายใด ๆ ที่คุณมีนำเข้าผลิตภัณฑ์ (สามารถใช้เครื่องมืออย่าง Magmi ได้อย่างรวดเร็ว) และสุดท้ายส่งออกคำสั่งซื้อ / ลูกค้าของคุณจากไซต์ปัจจุบันแล้วนำเข้าสู่การตั้งค่าใหม่

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.