ฉันจะทราบได้อย่างไรว่ามีการใช้ไฟล์ภาพที่เสียหายสำหรับการอ่านข้อมูลบัตรเครดิตหรือไม่

ฉันทำงานกับเว็บไซต์ที่ฉันเชื่อว่าถูกแฮ็กเพื่อรวบรวมข้อมูลบัตรเครดิตของลูกค้า แต่ฉันไม่แน่ใจ

ฉันไม่พบรหัสที่น่าสงสัยในสถานที่ทั่วไปที่ฉันเคยเห็นที่แนะนำในบทความต่าง ๆ

ฉันได้พบที่น่าสงสัย "เสีย" ไฟล์ภาพใน:

/skin/adminhtml/default/default/images/db-tab-bottom-right-bg_bg.gif

ฉันเปลี่ยนนามสกุลไฟล์และเปิดเธอขึ้นมา แต่มันเป็นเพียงกำแพงข้อความเข้ารหัสที่JPEG-1.1กระจัดกระจาย

ฉันจะรู้ได้อย่างไรว่าไซต์ถูกบุกรุกหรือไม่

ฉันยืนยันว่ามีการใช้งานโปรแกรมแก้ไขนี้ แต่แฮ็คอาจเกิดขึ้นก่อนหน้าโปรแกรมแก้ไข

แก้ไข: เวอร์ชันที่ได้รับผลกระทบคือ 1.7.0.2

สำหรับคำตอบเฉพาะสำหรับคำถามของคุณโปรดดูที่/magento//a/72700/361

พื้นหลัง

ประการแรกไม่มีการเอารัดเอาเปรียบที่เฉพาะเจาะจง - มีบทความหลายชุดที่ทำรอบในขณะที่มีการอ่านและเข้าใจผิดที่มาของบทความ

บทความเดิมเพียงกล่าวว่า (และผมถอดความ)

หากแฮกเกอร์ก็สามารถที่จะได้รับการเข้าถึงไฟล์วีโอไอพีของพวกเขาสามารถเก็บข้อมูลจากลูกค้าของคุณ

ส่วนสำคัญในการเป็นแฮกเกอร์จำเป็นต้องเข้าถึงเซิร์ฟเวอร์ของคุณและแก้ไขไฟล์

อย่าตกใจ ... นี่ไม่มีอะไรพิเศษสำหรับ Magento

ในแง่ของการเก็บข้อมูลไม่มีอะไรพิเศษเฉพาะ Magento มากกว่าเว็บไซต์ / แพลตฟอร์มอื่น ๆ หากแฮกเกอร์เข้าถึงไฟล์ของคุณเกมดังกล่าวจะมีประสิทธิภาพ - พวกเขาจะสามารถรวบรวมข้อมูลที่ต้องการได้

สิ่งที่ดีที่สุดที่คุณสามารถทำได้ (และในที่สุดขั้นต่ำสุดที่คุณควรทำ) คือการรักษานโยบายความปลอดภัยที่ดีซึ่งเป็นไปตามมาตรฐานความปลอดภัย PCI ของอุตสาหกรรมการประมวลผลการชำระเงินคุณสามารถค้นหารายการได้ที่นี่https://www.pcisecuritystandards.org /documents/Prioritized_Approach_for_PCI_DSS_v3_.pdf

ชุบแข็งร้านค้าของคุณ

คุณสามารถล็อคแง่มุมของร้านค้าของคุณที่ลดพื้นที่การโจมตีพื้นผิวของแฮ็กเกอร์อย่างมากหรืออย่างน้อยก็ชะลอความคืบหน้าของพวกเขาหากพวกเขาจัดการเพื่อเข้า /

ล็อคการอนุญาต

คุณสามารถ จำกัด การอนุญาตบนรูทเอกสารเพื่ออนุญาตให้เขียนเฉพาะไดเรกทอรีที่จำเป็น ( /varและ/media)

นี่คือสิ่งที่เราทำโดยเริ่มต้นในMageStack ,

echo -n "Fixing ownership"
chown -R $SSH_USER:$WEB_GROUP $INSTALL_PATH && echo " ... OK" || echo " ... ERROR"
INSTALL_PATH="/path/to/public_html"
chmod 750 $INSTALL_PATH
find $INSTALL_PATH -type d ! -perm 750 -exec chmod 750 {} \; && echo " ... OK" || echo " ... ERROR"
echo -n "Fixing file permissions"
find $INSTALL_PATH -type f ! -perm 740 -exec chmod 740 {} \; && echo " ... OK" || echo " ... ERROR"
echo -n "Fixing cron permissions"
find $INSTALL_PATH/*/cron.sh -type f ! -perm 750 -exec chmod 750 {} \; && echo " ... OK" || echo " ... ERROR"
echo -n "Fixing media/var file permissions"
chmod -R 760 $INSTALL_PATH/*/media $INSTALL_PATH/*/var && echo " ... OK" || echo " ... ERROR"
echo -n "Fixing media/var directory permissions"
find $INSTALL_PATH/*/media $INSTALL_PATH/*/var -type d ! -perm 770 -exec chmod 770 {} \; && echo " ... OK" || echo " ... ERROR"

ปรับINSTALL_PATH,SSH_USER,WEB_GROUPให้เหมาะสม สิ่งที่สำคัญคือคุณSSH_USERไม่ใช่ผู้ใช้เดียวกันกับที่ PHP ใช้สำหรับกระบวนการเว็บเซิร์ฟเวอร์มิฉะนั้นคุณจะต้องให้สิทธิ์การเข้าถึงการเขียนแบบเต็มไปยังเว็บเซิร์ฟเวอร์ (ลดผลประโยชน์ใด ๆ )

ล็อคการเข้าถึงผู้ดูแลระบบ / ดาวน์โหลดของคุณ

ใน MageStack คุณจะต้องตั้งค่านี้ ___general/x.conf

set $magestack_protect_admin true;
set $magestack_protect_downloader true;

บน Nginx คุณสามารถใช้สิ่งนี้

location ~* ^/(index.php/)?admin{
  satisfy any;

  allow x.x.x.x;

  auth_basic "Login";
  auth_basic_user_file /microcloud/data/domains/x/domains/x/___general/.htpasswd;

  deny all;

  location ~* \.(php) {
    include fastcgi_params;
  }
  try_files $uri $uri/ /admin/index.php ;
}

มีเอกสารเพิ่มเติมอีกเล็กน้อยเกี่ยวกับวิธีเตรียม.htpasswdไฟล์ที่นี่

ล้อมcron.shกระบวนการ

ฉันเจอผู้ให้บริการโฮสติ้งรายอื่นโดยใช้เครื่องจักรเฉพาะสำหรับการใช้งาน cron / admin ซึ่งหมายความว่าการแก้ไขcron.shไฟล์จะอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลบน cron / admin โดยไม่จำเป็นต้องเข้าถึง การรวมกระบวนการกับผู้ใช้ที่ถูกต้องใน fakechroot สามารถทำให้บิตนั้นดำเนินต่อไปเพื่อล็อคกระบวนการ

มีรหัสมากเกินไปสำหรับฉันที่จะโพสต์ แต่มีสคริปต์ที่นี่ที่นี่เฉพาะกับ MageStack แต่สามารถปรับได้เพื่อใช้กับการกำหนดค่าเซิร์ฟเวอร์ที่หรูหราน้อยกว่า :)

ตรวจสอบตรวจสอบตรวจสอบ

Linux นั้นยอดเยี่ยมในแง่ของการเข้าสู่ระบบและการแตะที่จะทำให้คุณเข้าใจอย่างถ่องแท้ว่าเซิร์ฟเวอร์ของคุณกำลังทำอะไรอยู่

คุณสมบัติที่ยอดเยี่ยมใน MageStack เป็นเครื่องมือตรวจสอบที่บันทึกการเข้าถึงทุกชนิดและแม้กระทั่งการเปลี่ยนแปลงไฟล์ในชีวิตประจำวัน คุณสามารถค้นหาบันทึกได้ที่นี่

/microcloud/logs_ro
|-dh[0-9]+
|---access-YYYY-MM-DD.log.gz
|---backup-YYYY-MM-DD.log.gz
|---magescan-YYYY-MM-DD.log.gz
|---php-differential-YYYY-MM-DD.log.gz
|-acc[0-9]+
|---access-YYYY-MM-DD.log.gz

หากคุณไม่ได้ใช้ MageStack คุณสามารถทำซ้ำสิ่งเหล่านี้กับผู้ให้บริการโฮสต์ของคุณได้อย่างง่ายดายrsyncเป็นเครื่องมือที่ง่ายที่สุดในการทำ

เช่น. หากการสำรองของคุณอยู่ในเครื่องคุณสามารถทำสิ่งต่อไปนี้ สิ่งนี้จะเรียกใช้แบบแห้งเปรียบเทียบสองไดเร็กทอรีและสร้างรายการ patch ที่แตกต่างกัน

rsync -na /path/to/public_html/ /path/to/backup/public_html/ > change.log
grep -E '\.php$' change.log | while read FILE; do
  diff -wp /path/to/public_html/$FILE /path/to/backup/public_html/$FILE >> php-differential.log
done

การเปลี่ยนแปลง PHP มีไม่บ่อยนักที่คุณสามารถกำหนดให้การทำงานทุกวัน (หรือหลายครั้งต่อวัน) และแจ้งให้คุณทราบทางอีเมลหากมีการเปลี่ยนแปลงไฟล์ PHP

สรุป

• ใช้การควบคุมเวอร์ชันมันง่ายกว่าในการติดตามการเปลี่ยนแปลง
• เพียงแค่มีใบรับรอง SSL ไม่เพียงพอที่จะทำให้ไซต์ของคุณปลอดภัย
• อย่ารอที่จะถูกแฮ็กเพื่อพิจารณาความปลอดภัย
• เพียงเพราะคุณเปลี่ยนเส้นทางไปยังผู้ให้บริการเกตเวย์การชำระเงินของคุณ (เทียบกับการบันทึกข้อมูล) - ไม่ได้หมายความว่าคุณสามารถหลีกเลี่ยงการปฏิบัติตาม PCI คุณยังต้องปฏิบัติตาม
• เป็นเชิงรุกปลอดภัยและละเอียดถี่ถ้วน - ตรวจสอบรหัสโมดูลก่อนที่คุณจะติดตั้งตรวจสอบไฟล์ PHP ทุกวันทบทวนบันทึกตรวจสอบการเข้าถึง FTP / SSH เปลี่ยนรหัสผ่านเป็นประจำ

ลูกค้าของคุณให้ความไว้วางใจในตัวคุณอย่างมหาศาลเมื่อพวกเขาส่งผ่านข้อมูลส่วนตัวทั้งหมดของพวกเขาและหากคุณทรยศความไว้วางใจนั้นโดยไม่ได้ดำเนินธุรกิจที่ปลอดภัยคุณจะสูญเสียความเชื่อมั่นและกำหนดเองในอนาคตทั้งหมด

การตรวจสอบทางนิติวิทยาศาสตร์ของ PCI นั้นมีราคาแพงอย่างเหลือเชื่อใช้เวลานานและในที่สุดก็เสี่ยงต่อความสามารถในการชำระเงินด้วยบัตรอีกครั้ง อย่าปล่อยให้ตัวเองอยู่ในตำแหน่งนั้น!

รับการติดตั้ง

มีชุดของแพทช์ที่ได้รับการปล่อยตัวจาก Magento เมื่อเร็ว ๆ นี้ว่ามีการแก้ไขช่องโหว่รวมถึงบางส่วนที่อนุญาตให้ใช้โค้ดจากระยะไกล คุณสามารถเรียกดูได้ที่นี่https://www.magentocommerce.com/products/downloads/magento/

แต่บทความใหม่เหล่านี้ไม่ได้อ้างถึงการหาประโยชน์ใหม่พวกเขาเพียงแค่ระบุว่าแฮ็กเกอร์ใช้ประโยชน์จากการหาประโยชน์ทางประวัติศาสตร์ (หรือเวกเตอร์โจมตีอื่น ๆ ) เพื่อให้สามารถจับข้อมูลผู้ถือบัตรได้อย่างไร

แหล่งที่มา

• https://www.sonassihosting.com/help/magestack/hardening-securing-your-magento-store/
• https://www.sonassihosting.com/help/magestack/reset-file-permissions-in-domain-group/

ฉันกำลังเพิ่มคำตอบอื่นเพียงเพราะคำตอบของฉันไม่ตอบคำถาม - และแน่นอนไม่จำเป็นต้องเป็นอีกต่อไป!

ฉันจะตรวจสอบว่าภาพมีข้อมูล CC ได้อย่างไร

ในที่สุดคุณไม่สามารถ บางครั้งมีตัวบ่งชี้ที่ทำให้โดดเด่น

เช่น.

• ขนาดไฟล์ใหญ่
• มีข้อความล้วนในไฟล์
• ส่วนหัวของภาพไม่ถูกต้อง

แต่อาจเป็นเรื่องยากโดยเฉพาะอย่างยิ่งในการแยกเนื้อหาของไฟล์ไบนารีเพื่อตรวจสอบเนื้อหาหากเนื้อหาไม่ได้เป็นเพียงข้อความธรรมดา

การใช้ประโยชน์ที่พบบ่อยที่สุดที่ฉันเคยเห็นไม่ได้เกี่ยวข้องกับการเขียนข้อมูลข้อความธรรมดาไปยังไฟล์ที่มี.jpg|png|gif|etcนามสกุล แต่มักจะเกี่ยวข้องกับการเข้ารหัส / การเข้ารหัสบางชนิดเพื่อทำให้ข้อมูลสับสน (เช่นbase64หรือmcryptอื่น ๆ ) ซึ่งหมายความว่า grep อย่างง่ายจะไม่ทำงาน

คุณสามารถ (และนี่คือไม่ละเอียดถี่ถ้วน) ...

ค้นหาไฟล์ที่มีขนาดใหญ่ผิดปกติ

find \
/path/to/public_html/skin \
/path/to/public_html/media \
-type f -size +20M 2>/dev/null

ค้นหาไฟล์ที่ตรงกับ CC regex

grep -lE '([0-9]+\-){3}[0-9]{4}|[0-9]{16}' \
/path/to/public_html/skin \
/path/to/public_html/media 2>/dev/null

ตรวจสอบว่าไฟล์รูปภาพถูกต้องหรือไม่

find \
/path/to/public_html/skin \
/path/to/public_html/media -type f \
-regextype posix-egrep -regex '.*\.(jpg|gif|png|jpeg)' |\
xargs identify 1>/dev/null

หรือ

find \
/path/to/public_html/skin \
 -name '*' -exec file {} \; | grep -v -o -P '^.+: \w+ image'

ฉันจะตรวจสอบไฟล์ PHP ในการติดตั้งของฉันเพื่อดูว่ามันได้รับการแก้ไขหรือไม่

วิธีที่ง่ายที่สุดในการเปรียบเทียบไฟล์ติดตั้งของคุณคือการแตกแกนหลักกับสำเนาที่สะอาด สิ่งนี้จะไม่พิจารณาไฟล์ธีมของคุณ แต่ไปไกลในการตรวจสอบไฟล์สองสามพันไฟล์ในการติดตั้งของคุณ

กระบวนการนี้ง่ายมาก

เช่น. สำหรับ Magento รุ่น 1.7.0.2

wget sys.sonassi.com/mage-install.sh -O mage-install.sh
bash mage-install.sh -d -r 1.7.0.2
tar xvfz latest-magento.tar.gz
diff -w --brief -r magento-ce-*/app/code/core app/code/core
diff -w --brief -r magento-ce-*/lib lib

โปรดจำไว้ว่าการเปิดตัววีโอไอพีที่เก่ากว่านั้น (ไม่น่ารำคาญ) ไม่ได้รับการแก้ไขดังนั้นการทำคอร์ที่ต่างกันจะส่งผลให้เกิดการเปลี่ยนแปลง เพื่อหลีกเลี่ยงปัญหานี้ให้ใช้โปรแกรมแก้ไขกับแหล่งข้อมูลใหม่ทั้งหมดที่ดาวน์โหลดแล้วจากนั้นอีกครั้ง

โพสต์ที่ยอดเยี่ยม แต่น่าเสียดายที่ไม่ใช่ทุกสิ่งที่สร้างขึ้นเท่ากัน

สิทธิ์ของไฟล์

เมื่อโฮสติ้งที่ใช้ร่วมกันได้รับความนิยมก็ถือว่าสำคัญกว่าที่ผู้คนจะไม่ได้รับอนุญาตให้ดูเนื้อหาของผู้อื่นบนเซิร์ฟเวอร์เดียวกัน จนกว่าการถือกำเนิดของ FreeBSD จะถูกหมายถึง:

• กระสุน จำกัด
• / home as root: root 700
• บัญชีผู้ใช้ที่มี umask 007
• UID เปลี่ยนซอฟต์แวร์เว็บเซิร์ฟเวอร์
• และโพสต์มันเปลี่ยนเป็นเจ้าของบัญชีนั้น

การอนุญาตนี้เป็นการแก้ไขไฟล์ HTML (จากนั้น) โดยเจ้าของบัญชีในขณะเดียวกันทั้งกระบวนการเว็บเซิร์ฟเวอร์และเจ้าของบัญชีไม่สามารถเข้าถึงผู้อื่นในเครื่องเดียวกันได้

สิ่งนี้ไม่ได้เปลี่ยนแปลงมากนักและแพคเกจซอฟต์แวร์ที่ปรับให้เหมาะกับโฮสติ้งที่ใช้ร่วมกัน (CPanel, DirectAdmin, Plex) ล้วน แต่ใช้หลักการเหล่านั้น ซึ่งหมายความว่าจุดเข้าหลัก (ผู้แปลเว็บเซิร์ฟเวอร์และ / หรือล่ามสคริปต์) สามารถเขียนไปยังไฟล์ใดก็ได้ในบัญชีทำให้การอนุญาตไฟล์ไม่มีประโยชน์

ไม่มี CC ที่จะขโมยหากคุณไม่มี

แจ้งกับผู้ให้บริการชำระเงิน CC ของคุณว่าข้อมูล CC ถูกส่งไปยังเซิร์ฟเวอร์ของคุณจริงหรือไม่และหากเป็นเช่นนั้นหากมีการส่งการเข้ารหัสที่ไม่เข้ารหัส JavaScript ค่อนข้างมีประสิทธิภาพในทุกวันนี้และมีผู้ให้บริการการชำระเงินอยู่ที่นั่นซึ่งใช้เครื่องมือ JavScript ของลูกค้าเพื่อเข้ารหัสข้อมูลที่มีความละเอียดอ่อนก่อนส่งไปยังเซิร์ฟเวอร์ ในขณะที่ตัวรวบรวมข้อมูลนี้อาจเป็นไปได้ที่จะได้รับคีย์เซสชั่นรวมทั้งข้อมูลที่เข้ารหัส (และสามารถถอดรหัสได้) แต่ก็น่าสนใจน้อยลงสำหรับตัวรวบรวมเนื่องจากข้อมูลที่รวบรวมนั้นมีขนาดใหญ่กว่าและ AI ของบอทซับซ้อนขึ้น .

การตรวจจับการดัดแปลง

กว่า 15 ปีของยูนิกซ์และมันยังทำให้รอยยิ้มบนใบหน้าของความคิดถึงของฉันเมื่อฉันเห็น reincarnations ของTripwire ก็เป็นเครื่องมือที่ดีสำหรับเรื่องนี้เช่นกัน เปรียบเทียบกับรุ่นที่รู้จักกันดี แต่ค่อนข้างน้อยเนื่องจากไม่คำนึงถึงส่วนเพิ่มเติมและเครื่องมือที่ดีอีกครั้งที่นี่เนื่องจากการแก้ไขในพื้นที่ไซต์นั้นบ่อยกว่าการติดตั้งที่เก่ากว่า

โปรแกรมดาวน์โหลด

การย้ายเครื่องมือดาวน์โหลดเดอร์ออกไปนอกรูทเอกสารนั้นเป็นเรื่องง่ายเช่นเดียวกับการติดตั้งการพิสูจน์ตัวตน HTTP ในบางรูปแบบ จากนั้นนำกลับมาใช้เมื่อคุณใช้งานเท่านั้น หากไม่เป็นจริงฉันก็ชอบที่จะล็อคมันตามที่อยู่ทางไกลแทนเลเยอร์ผู้ใช้ / รหัสผ่านอื่นโดยเฉพาะอย่างยิ่งที่ส่งรหัสผ่านเป็นข้อความธรรมดา

WAF และทางเลือกอื่น

Web Application Firewall สามารถป้องกันปัญหาจำนวนมากได้แล้วในขั้นตอนการสแกนของการโจมตี น่าเสียดายที่กล่องดำเหล่านี้มีราคาแพง แต่มีบางตัวเลือก:

1. คนที่เป็นเพื่อนร่วมทางของ tripwire ย้อนกลับไปในวันนั้น - Snort - อยู่ที่นั่นกับ WAF เชิงพาณิชย์ มันมีเส้นโค้งการเรียนรู้ที่สูงชัน แต่สามารถตรวจจับความผิดปกติและรู้จักผู้ที่ไม่ดีได้ค่อนข้างดี
2. Naxsi สำหรับ nginx และ mod_security สำหรับ Apache ปฏิเสธคำขอที่มีการรู้ลายเซ็นการโจมตี Naxsi เป็นสามัญมากกว่าและปฏิเสธบริการสำหรับ "สิ่งที่ไม่ควรอยู่ที่นี่" เช่น SQL ที่ถูกบดบัง - ตรงกันข้ามกับส่วนหนึ่งของ SQL ที่รู้จักกันเล็กน้อย
3. Fail2ban / sshguard นั่งระหว่างสองก่อนหน้า พวกเขาสามารถจัดการบันทึกประเภทต่างๆและมีการกระทำที่ปรับแต่ง ข้อเสียคือพวกเขาทำงานหลังจากความจริง โดยทั่วไปแล้ว Loglines จะเข้าสู่บันทึกหลังจากการดำเนินการเสร็จสิ้นและด้านบนของเครื่องมือที่มีเกณฑ์ในการต่อสู้กับผลบวกปลอม นี่อาจเพียงพอสำหรับผู้โจมตีในการเข้าถึงหากได้รับข้อมูลที่ถูกต้องในระยะก่อนหน้านี้

ฉันคิดว่าเราครอบคลุมสิ่งต่าง ๆ มากมาย แต่ให้ฉันจบด้วยสัตว์เลี้ยงของฉัน:

หยุดใช้ FTP

ที่นั่น ฉันเป็นคนพูดมันเอง. และที่นี่คุณไป: https://wiki.filezilla-project.org/Howto

มีอะไรบางอย่างเกี่ยวกับสับใหม่นี้คือเบน Marks เมื่อวานนี้โพสต์พวกเขาจะตรวจสอบปัญหาและมีนี้บทความเกินไป

วิธีที่ดีที่สุดที่คุณสามารถลองได้คือลงชื่อเข้าใช้ผ่าน SSH และทำการค้นหาภายในไฟล์ทั้งหมดที่คุณมีสำหรับสตริงบางอย่างเช่น

find . | xargs grep 'db-tab-bottom-right-bg_bg.gif' -sl

จากโฟลเดอร์ Magento root ของคุณและหากคุณได้รับการจับคู่ให้ปรับไฟล์ด้วยตนเองเพื่อดูว่าเกิดอะไรขึ้น เช่นเดียวกันกับสตริงอื่น ๆ เช่น "END PUBLIC KEY"