Що робити проти останньої вразливості: викрадені дані кредитної картки?

11

Після появи новин кілька днів тому я не чув багато - і жодної офіційної заяви - про нову вразливість. Sucuri каже, що можна отримувати інформацію про кредитну карту, або навіть усі $_POSTдані, включаючи паролі адміністратора тощо.

У мене ще не було випадку, коли клієнта зламали, але я не хочу чекати, поки це станеться, щоб вжити заходів. Хтось ще бачив пластир?

security  magento-ce 
simonthesorcerer
джерело
З огляду на останню статтю Sucuri, вас також можуть зацікавити відповіді @Ben Lessani (Sonassi) тут: magento.stackexchange.com/a/72697/231
Anna Völkl

Відповіді:

8

Якого виправлення чи офіційної заяви ви очікуєте? У публікації блогу йдеться лише про те, що веб-додаток може бути порушено, коли зловмисник отримає доступ до коду. Це стосується кожної веб-програми. Термін Magento там повністю взаємозамінний. Наразі вони не мають поняття, як порушений хост був порушений. Відкритими дверима в наведених прикладах може бути все, починаючи від проблем із сервером до "шару 8".

Поки вони залишаються такими невиразними і не приходять з цінною інформацією, все це маркетинг, як розповсюдження назви їхньої компанії, створення хвиль, позиціонування себе як експертів із безпеки тощо. Поєднання мовних слів, таких як "викрасти" "кредитну карту" " Мадженто "очевидно робить хорошу історію.

Про що ми ще можемо дізнатися з цієї публікації:

  • Регулярно спостерігайте за кодовою базою даних для несподіваних змін.
  • Залиште обробку даних про платежі на PSP.

Оновлення: Зараз є офіційна заява Бена Маркса .

mam08ixo
джерело
Так, я знаю, що джерело досить не конкретно. Я також не знаю, чи зв’язалися вони з Magento / eBay з цього питання. У будь-якому разі, все ж можливо (і це траплялося двічі за останні місяці), що це основна помилка, і я б очікував принаймні твердження типу "ми розслідуємо" чи "не наша вина, якийсь модуль".
simonthesorcerer
Я погоджуюсь, що основною причиною може бути також одне з тисяч розширень там або будь-яка (непатч) версія Magento. Ще недостатньо інформації, щоб вжити цільових дій.
mam08ixo
3

Поки ваша версія Magento оновлена, ви встановили всі останні патчі, і ваш сервер відповідає найкращим практикам щодо налаштування (дозволи файлів, не інше програмне забезпечення / веб-сайт, брандмауер тощо) - це все, що ви можете зробити зараз. .

Я думаю, що важливо згадати, що ще немає конкретного вектора атаки:

То як працює атака? Ми досі розслідуємо вектори нападу. Здається, що зловмисник використовує вразливість в ядрі Magento або якомусь широко використовуваному модулі / розширенні.

Редагувати:

Як було сказано в моєму коментарі вище, ви також можете ознайомитись з детальною відповіддю Бен Лессані на інше пов'язане питання, яке містить деяку довідкову інформацію: https://magento.stackexchange.com/a/72697/231

Анна Велкл
джерело
2

Не (лише) Магенто

Я бачив, як багато інших веб-сайтів зламали таким чином, вставляючи зловмисний код у базу коду, і не лише в Magento. І є багато варіантів: скрипти, що крадуть дані POST, скрипти, що додають XSS, скрипти, які намагаються вкрасти кореневі паролі, сценарії, що дозволяють вхідним дзвінкам обробляти дані (для видобутку біткойна, для відправки спам-листів з цього сервера) тощо ...

В деяких випадках причиною викрадення облікових даних FTP (вірусами / зловмисним програмним забезпеченням) з клієнтського комп'ютера, в інших випадках він використовував експлуатування в додатку.

Існує багато інших програм, які можуть забезпечити доступ до сервера за допомогою подвигів, наприклад WordPress.

Є лише один випадок, коли Magento був би винен, і слід очікувати дії від Magento, і це: якщо експлуатований додаток мав би бути Magento останньої версії та повністю зафіксований.

Тож є лише невелика ймовірність, що ця виділена справа була спричинена в першу чергу помилкою в Магенто. Тому ви не чуєте нічого від Magento.

Новим тут є те, що вставлений код дуже конкретно орієнтований на Magento та використовує архітектуру та принципи коду Magento.

Що робити

Тепер, щоб дати відповідь на ваше запитання "Що робити проти цього?"

  • Ніколи не запускайте два різних програми на одному екземплярі сервера,
    як WordPress + Magento. Колись ви бачите, як WordPress працює, як у www.magentoshop.com/blog/ або Magento, що працює на www.wordpresswebsite.com/shop/. Не робіть цього. Подвиги в WordPress можуть надати зловмиснику доступ до ваших даних Magento.

  • Використовуйте систему контролю версій,
    яку я використовую GIT, а також на сервері (доступ лише для читання) для розгортання веб-сайту. Це також дає мені швидке уявлення про зміни в системі шляхом запуску git status.

  • Ніколи не використовуйте FTP, тільки SFTP, ніколи не зберігайте паролі, про які
    я згадував вище, що паролі FTP були викрадені з клієнтського комп'ютера. Також використання FTP не є безпечним, оскільки воно буде надсилати дані без шифрування через Інтернет. Тому використовуйте SFTP і ніколи не зберігайте ваші паролі у вашій програмі FTP, просто не лінуйтеся та вводите їх щоразу, коли ви підключаєтесь до свого сервера.

7очем
джерело
7ochem
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.