Loja Magento não segura

15

Recentemente, assumi o gerenciamento de uma loja Magento. Ontem, recebemos um email de uma empresa de TI informando que nossa loja não era segura. Embora duvide da legitimidade do email, ele mostrou o último pedido na loja, a quantidade de clientes registrados e o último produto adicionado.

Desde que me tornei administrador, após a realização, não sei exatamente quais medidas de segurança foram tomadas. As seguintes coisas eu tenho certeza:

  • Há um caminho personalizado para o painel de administração
  • Os dados são enviados por https
  • A senha do administrador é uma sequência aleatória de letras maiúsculas ou minúsculas

Se este e-mail for legítimo, como posso corrigir esse problema?

Dave
fonte
11
adicione à lista: o loggin do administrador não é "admin" ou "administrador"
nicolallias
11
Se você não está corrigido com os níveis de correção mais recentes, alterar o caminho do administrador foi uma perda de tempo ridícula, pois era muito fácil fazer o Magento expor o caminho ofuscado. Verifique se a sua instalação teve todos os patches de segurança aplicados.
Fiasco Labs

Respostas:

7

Você instalou todos os patches? https://www.magentocommerce.com/download#cat_1735_files

Após aplicar os patches, altere todas as senhas de administrador.

E quaisquer módulos de terceiros instalados, podem fazer o que quiserem, por exemplo, fazer grandes brechas de segurança no magento.

Fabian Blechschmidt
fonte
3

Com base na descrição do OP, é difícil determinar o estado atual do sistema em relação a um Magento comprometido. Infelizmente, como discutimos abaixo, a instalação das correções não resolverá o seu problema se você já estiver comprometido. Eles apenas interrompem ataques futuros, NÃO FAZEM NADA PARA CORRIGIR UM SISTEMA QUE JÁ ESTÁ COMPROMETIDO.

Documentamos nossa pesquisa para fornecer uma lista de assinaturas de ataque conhecidas, para que você possa verificar seus sistemas em busca de evidências e responder em conformidade. Lembre-se de que nunca vimos dois compromissos exatamente iguais, portanto, há uma chance de seu sistema específico ser um pouco diferente - se você descobrir algo em seu sistema que ainda não tenhamos documentado, compartilhe conosco para que podemos atualizar o guia de assinatura de ataque ou apenas bifurcar, atualizar e enviar uma solicitação de recebimento.

Estamos trabalhando em um kit de ferramentas para automatizar a correção desses itens, mas pode levar uma semana ou duas até que esteja pronto para distribuição. Enquanto isso, estamos compartilhando o conhecimento que adquirimos trabalhando com esses compromissos com todos da comunidade, em um esforço para garantir que todos estejam tão seguros quanto se pode esperar.

Estou incluindo um processo de análise e resposta de segurança em três etapas abaixo, no qual trabalhamos repetidamente para obter resultados consistentes. A principal suposição que você terá que fazer é que você não pode saber o que foi ou não foi comprometido até que você diferencie os arquivos do seu sistema do código-fonte padrão fornecido pelo Magento ou de uma cópia que você tenha feito no seu sistema. (Git / Mercurial / SVN). Você deve presumir que seu banco de dados e logins foram comprometidos e alterá-los todos.

NOTA CRÍTICA: A instalação dos patches do Magento NÃO O ajudará se você já tiver sido comprometido. Na melhor das hipóteses, interromperá compromissos ADICIONAIS dos tipos conhecidos, mas se você já estiver comprometido, precisará instalar os patches e corrigir o sistema, conforme destacamos abaixo.

Fase 1: identifique o escopo do seu compromisso. Todos os itens que listo abaixo são assinaturas que descobrimos em sites Magento comprometidos, especificamente relacionados aos anúncios de vulnerabilidade SUPEE-5344 e SUPEE-5994. Depois de instalar os patches mais recentes ( e quaisquer outros que você possa precisar instalar no Magento ), você precisará passar por cada um e verificar se encontra alguma evidência da assinatura em seu sistema. Muitos deles são suficientes por si só para permitir que um invasor entre novamente no seu sistema depois de corrigi-lo, assim você terá que ser diligente e garantir que não pule nada ou que não corrija o problema.

Você também pode usar o scanner on-line do Magento , mas, em geral, eles apenas informam se você instalou os patches e evitou compromissos futuros. Se você já foi comprometido, eles não procurarão outras portas traseiras ou ataques que possam ter sido instalados quando você foi atacado. pelo menos nenhum dos que testamos encontrou as assinaturas que descobrimos. A defesa em profundidade é o caminho a percorrer, o que significa várias verificações e análises de várias ferramentas e perspectivas, se você quiser ter confiança nos resultados.

Fase 2: Exclua o que você deve e substitua o que puder: use os arquivos originais do seu repositório ou os arquivos de origem do Magento. Se você não estiver executando uma das versões mais recentes, ainda poderá usar a página de download do Magento para obter fontes de versões mais antigas do site.

Fase 3: RESTAURAR Credenciais: faça o inventário de todos os usos de um nome de usuário e senha relacionados remotamente à sua implantação e redefina todos, incluindo

  • Logons de conta do comerciante e chaves de API
  • Magento Admin Logins e Senhas
  • Credenciais da conta de email
  • Sistema de autenticação LDAP / AD / primário
  • Senhas
  • TUDO
  • Você pode ter certeza razoável de que as etapas anteriores o ajudarão a limpar os campos infectados, mas não saberá se as senhas foram detectadas ou registradas com chave ou a vítima de algum outro ataque; portanto, redefinir todas as credenciais relacionadas é a opção mais segura se você deseja tentativa de corrigir um sistema comprometido.

O guia é muito longo para postar nesta resposta, mas a lista de assinaturas pode ser baixada imediatamente em nosso repositório Magento Security Toolkit GitHub .

Bryan 'BJ' Hoffpauir Jr.
fonte
2

As coisas que você listou são boas primeiras etapas, mas não são as únicas coisas que você precisa fazer para tornar seu site seguro.

Exatamente o que é inseguro em seu site, ninguém poderá responder, pelo menos sem olhar para ele. Realmente depende da sua configuração, por exemplo, se você estiver usando apache ou nginx, eles estão configurados corretamente? Você instalou todos os patches de segurança mais recentes do magento ?

Se eles pudessem falar sobre o último pedido e o número de clientes registrados, eu levaria isso a sério ...

Andrew Kett
fonte
0

Embora duvide da legitimidade do email, ele mostrou o último pedido na loja, a quantidade de clientes registrados e o último produto adicionado.

Isso parece legítimo ...

Eu não acho que isso tenha sido mencionado, mas alguns desses e-mails de pesca podem ser de empresas bem, e pode valer a pena pelo menos ver o que eles cobrariam para solucionar o problema. (Parece que eles teriam uma boa idéia por onde começar) Se a empresa parecer sombria, sim, evite.

Há alguns bons pontos acima; se você quiser fazer isso você mesmo, precisará diferenciar os arquivos dos pontos de início conhecidos ou, talvez mais fácil (dependendo da configuração) seja instalar um Magento novo em outro servidor e partir daí (instalar versões novas de qualquer extensão que você tenha, importe os produtos (pode ser rápido usando uma ferramenta como Magmi) e, finalmente, exporte seus pedidos / clientes do site atual e depois importe para a nova configuração).

Jim Moo
fonte