Magento Store nicht sicher

Vor kurzem habe ich die Leitung eines Magento Stores übernommen. Gestern haben wir eine E-Mail von einem IT-Unternehmen erhalten, dass unser Geschäft nicht sicher ist. Obwohl ich die Legitimität der E-Mail bezweifle, wurden die letzte Bestellung im Geschäft, die Anzahl der registrierten Kunden und das zuletzt hinzugefügte Produkt angezeigt.

Seitdem ich kürzlich Administrator wurde, weiß ich nach der Realisierung nicht genau, welche Sicherheitsmaßnahmen ergriffen wurden. Die folgenden Dinge weiß ich sicher:

• Es gibt einen benutzerdefinierten Pfad für das Admin-Panel
• Die Daten werden über https gesendet
• Das Administratorkennwort besteht aus einer zufälligen Folge von Klein- oder Großbuchstaben

Wie kann ich das Problem beheben, wenn diese E-Mail echt ist?

Hast du alle Patches installiert? https://www.magentocommerce.com/download#cat_1735_files

Ändern Sie nach dem Anwenden der Patches alle Administratorkennwörter.

Und was auch immer Module von Drittanbietern installiert sind, sie können tun, was sie wollen, z. B. große Sicherheitslücken in Magento.

Überprüfen Sie Ihre Shop-Sicherheit unter https://shoplift.byte.nl/

Überprüfen Sie Ihr Backend-Konto, entfernen Sie das Recht, das sie nicht benötigen

Installieren Sie alle Patches. Unter http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/ können Sie sehen, welchen Patch für welche Version Sie benötigen.

Überprüfen Sie Module von Drittanbietern, wenn Sie können.

Basierend auf der Beschreibung des OP ist es schwierig, den aktuellen Status des Systems in Bezug auf ein kompromittiertes Magento zu bestimmen. Leider wird das Problem durch die Installation der Fixes nicht behoben, wenn Sie bereits gefährdet sind. Sie stoppen nur zukünftige Angriffe. Sie tun nichts, um ein bereits kompromittiertes System zu reparieren.

Wir haben unsere Untersuchungen dokumentiert, um eine Liste bekannter Angriffssignaturen bereitzustellen, damit Sie Ihre Systeme auf Beweise dafür überprüfen und entsprechend reagieren können. Denken Sie daran, dass wir noch nie zwei Kompromisse gesehen haben, die genau gleich sind. Daher besteht die Möglichkeit, dass sich Ihr System geringfügig unterscheidet. Wenn Sie auf Ihrem System etwas entdecken, das wir noch nicht dokumentiert haben, teilen Sie uns dies bitte mit Wir können den Leitfaden für Angriffssignaturen aktualisieren oder einfach eine Pull-Anfrage abspalten, aktualisieren und senden.

Wir arbeiten an einem Toolkit, um die Korrektur dieser Elemente zu automatisieren. Es kann jedoch ein oder zwei Wochen dauern, bis es zur Verteilung bereit ist. In der Zwischenzeit teilen wir das durch diese Kompromisse erworbene Wissen mit allen Mitgliedern der Community, um sicherzustellen, dass alle so sicher sind, wie es zu erwarten ist.

Im Folgenden wird ein dreistufiger Sicherheitsanalyse- und Reaktionsprozess aufgeführt, an dem wir immer wieder gearbeitet haben, um konsistente Ergebnisse zu erzielen. Die Hauptannahme, die Sie machen müssen, ist, dass Sie nicht wissen können, was kompromittiert wurde oder nicht, bis Sie die Dateien in Ihrem System gegen den von Magento bereitgestellten Standardquellcode oder eine Kopie, die Sie in Ihrem System erstellt haben, abgleichen (Git / Mercurial / SVN) -Repository. SIE SOLLTEN davon ausgehen, dass Ihre Datenbank und Ihre Anmeldungen kompromittiert wurden, und sie alle ändern.

KRITISCHER HINWEIS: Die Installation der Patches von Magento wird Ihnen NICHT helfen, wenn Sie bereits kompromittiert wurden. Bestenfalls werden ZUSÄTZLICHE Kompromisse der bekannten Typen unterbunden. Wenn Sie jedoch bereits kompromittiert sind, müssen Sie BEIDE Patches installieren und Ihr System reparieren, wie wir unten hervorheben.

Phase 1: Ermitteln Sie den Umfang Ihres Kompromisses. Jedes der unten aufgeführten Elemente sind Signaturen, die wir auf gefährdeten Magento-Sites gefunden haben, die sich speziell auf die Ankündigungen zur Sicherheitslücke SUPEE-5344 und SUPEE-5994 beziehen. Nachdem Sie die neuesten Patches installiert haben ( und alle anderen, die Sie möglicherweise von Magento aus installieren müssen ), müssen Sie die einzelnen Patches durchgehen und prüfen, ob Sie Hinweise auf die Signatur auf Ihrem System finden. Viele von ihnen reichen aus, um es einem Angreifer zu ermöglichen, Ihr System nach dem Patchen erneut zu betreten. Sie müssen also gewissenhaft vorgehen und sicherstellen, dass Sie nichts überspringen oder es nicht korrigieren.

Sie können auch den Online-Scanner von Magento verwenden . Im Großen und Ganzen werden Sie jedoch nur darüber informiert, ob Sie die Patches installiert und zukünftige Kompromisse verhindert haben. Wenn Sie bereits kompromittiert wurden, werden diese nicht nach anderen Hintertüren oder Angriffen durchsucht, die möglicherweise installiert waren, als Sie das erste Mal angegriffen wurden. Mindestens keiner der getesteten hat die von uns entdeckten Signaturen gefunden. Tiefenverteidigung ist der richtige Weg, dh mehrere Scans und Überprüfungen aus verschiedenen Werkzeugen und Perspektiven, wenn Sie auf die Ergebnisse vertrauen möchten.

Phase 2: Löschen Sie, was Sie müssen, und ersetzen Sie, was Sie können: Verwenden Sie die Originaldateien aus Ihrem Repository oder die Magento-Quelldateien. Wenn Sie nicht mit einer der neuesten Versionen arbeiten, können Sie auf der Magento-Downloadseite ältere Versionsquellen von ihrer Website herunterladen.

Phase 3: Zurücksetzen der Anmeldeinformationen: Führen Sie eine Bestandsaufnahme aller Anmeldeinformationen und Kennwörter durch, die sich auf Ihre Bereitstellung beziehen, und setzen Sie sie alle zurück, einschließlich

• Merchant Account Logins und API Keys
• Magento Admin Logins & Passwörter
• Anmeldeinformationen für E-Mail-Konto
• LDAP / AD / Primäres Authentifizierungssystem
• Passwörter
• ALLES
• Sie können sich ziemlich sicher sein, dass die vorhergehenden Schritte Ihnen dabei helfen, infizierte Dateien zu bereinigen, aber Sie können nicht wissen, ob Kennwörter gesniffen oder der Schlüssel protokolliert wurde oder ob Sie Opfer eines anderen Angriffs wurden. Daher ist das Zurücksetzen aller zugehörigen Anmeldeinformationen die sicherste Option, wenn Sie dies tun Versuchen Sie, ein gefährdetes System zu reparieren.

Der Leitfaden ist zu lang, um in dieser Antwort veröffentlicht zu werden, aber die Signaturliste kann sofort in unserem Magento Security Toolkit GitHub-Repository heruntergeladen werden .

Die Dinge, die Sie aufgelistet haben, sind gute erste Schritte, aber sie sind keineswegs die einzigen Dinge, die Sie tun müssen, um Ihre Site sicherer zu machen.

Was genau an Ihrer Site unsicher ist, kann niemand beantworten, zumindest ohne Ihre Site zu betrachten. Es hängt wirklich von Ihrem Setup ab, z. B. ob Sie Apache oder Nginx verwenden, sind sie richtig konfiguriert? Haben Sie alle aktuellen Magento- Sicherheitspatches installiert ?

Wenn sie Ihnen die letzte Bestellung und die Anzahl der registrierten Kunden mitteilen könnten, würde ich das ernst nehmen ...

Obwohl ich die Legitimität der E-Mail bezweifle , wurden die letzte Bestellung im Geschäft, die Anzahl der registrierten Kunden und das zuletzt hinzugefügte Produkt angezeigt .

Das klingt echt ...

Ich glaube nicht, dass dies erwähnt wurde, aber einige dieser Angel-E-Mails können von in Ordnung befindlichen Unternehmen stammen, und es kann sich zumindest lohnen, zu sehen, welche Gebühren sie erheben, um das Problem zu beheben. (Es hört sich so an, als hätten sie eine gute Idee, wo sie anfangen sollen.) Wenn das Unternehmen zwielichtig erscheint, dann meiden Sie es.

Es gibt einige gute Punkte oben; Wenn Sie dies selbst tun möchten, müssen Sie entweder die Dateien anhand bekannter Startpunkte vergleichen oder (abhängig von Ihrem Setup) ein neues Magento auf einem anderen Server installieren und von dort aus fortfahren (neue Versionen installieren) Wenn Sie Erweiterungen haben, importieren Sie die Produkte (mit einem Tool wie Magmi schnell) und exportieren Sie schließlich Ihre Bestellungen / Kunden von der aktuellen Site und importieren Sie sie dann in das neue Setup.