Upgrade von kompromittiertem Magento von 1.7 auf 1.9

7

Ich habe einige Nachforschungen angestellt, aber es scheint mehrere Lösungen zu geben, und ich möchte es richtig machen. Ich muss mein Magento von 1.7.0.2 auf den neuesten Stand (1.9) aktualisieren, da unser Server kompromittiert wurde und ausgehende E-Mails Spam waren.

Ich wurde von unserem Hosting-Anbieter angewiesen, sicherzustellen, dass die neueste Version von Magento installiert ist, um dies zu verhindern.

Meine Frage ist jedoch, wie ich dieses Upgrade am besten durchführen kann. Ich versuche zu vermeiden, dass etwas auf meinem lokalen Computer gespeichert wird, da ich nicht möchte, dass dies durch die schädlichen Dateien beschädigt wird.

Ich dachte daran, einen Ordner mit dem Titel "OLD" auf dem Server zu erstellen, alle meine Magento-Dateien dorthin zu verschieben und dann eine Neuinstallation von Magento 1.9 zu installieren. Sobald dies erledigt ist, kann ich nur die erforderlichen Dateien (Themen usw.) verschieben und dann den Ordner 'OLD' löschen.

Ist dies der beste Weg, dies zu tun? Muss ich mit meiner Datenbank etwas anderes tun, als die local.xml-Informationen zu ändern?

itsk2015
quelle
1
Haben Sie versucht, den kürzlich veröffentlichten Sicherheitspatch von Magento auf Ihre vorhandene Version anzuwenden? Versuchen Sie, die FTP-Benutzernamen und -Kennwörter zu ändern, und verwenden Sie stattdessen SFTP. Beschränken Sie Ihren Admin-Patch auf eine bestimmte IP-Adresse.
Mukesh
1
Hallo, danke für deine Antwort! Ich habe den FTP-Benutzernamen und die Passwörter geändert. Ich werde mich mit SFTP befassen und den Admin-Patch auf eine bestimmte IP-Adresse beschränken. Ich wusste nicht, dass ich das schaffen könnte.
itsk2015
1
Versuchen Sie bei Google, wie Sie Magento sicher machen können. Sie werden viele Lösungen finden. Versuchen Sie, diese Änderungen einige Tage lang zu beobachten, bevor Sie auf die neueste Version aktualisieren. (Es ist jedoch immer besser, mit der neuesten Magento-Version aktualisiert zu werden.)
Mukesh
1
Danke, das ist eine große Hilfe. Ich habe nur in meiner Benutzerliste nachgesehen und viele Benutzer gesehen, die eigentlich nicht dort sein sollten, also habe ich sie gelöscht. Ich werde den Patch installieren und Google wie von Ihnen vorgeschlagen ausführen.
itsk2015
1
Bitte überprüfen Sie die Antwort
Mukesh

Antworten:

4

Erstens das Offensichtliche: Das Aktualisieren / Patchen von Magento verhindert nur zukünftige Angriffe, macht jedoch eine bereits gefährdete Installation nicht sicher.

Das Kopieren der Dateien auf Ihren lokalen Computer ist nicht gefährlich, solange Sie nur die Dateien analysieren und keinen lokalen Webserver einrichten. Das Sichern der Dateien auf dem Server selbst ist eine Option. Da der Server jedoch immer noch gefährdet ist, sollten Sie sich darüber im Klaren sein, dass die Dateien möglicherweise immer noch durcheinander geraten. Es ist auch wahrscheinlich, dass in Ihren "erforderlichen Dateien", beispielsweise in Ihrem Thema, schädliche Skripte versteckt sind.

Was solltest du mit der gehackten Installation machen?

  1. Nehmen Sie es offline. Das heißt, Sie versetzen den Store nicht nur in den "Wartungsmodus", sondern deaktivieren den virtuellen Host oder blockieren den gesamten Zugriff.
  2. Suchen und löschen Sie die schädlichen Dateien. Ein häufiges Muster ist, dass PHP-Dateien auf dem Server abgelegt werden, die beliebigen Code ausführen, wenn auf einen bestimmten IP-Bereich zugegriffen wird, und der Code als URL-Parameter übergeben wird. Es kann sich auch um eine geänderte vorhandene Datei handeln. Außerdem neigen diese dazu, sich selbst neu zu erstellen (z. B. erstellt die geänderte Kerndatei A bei jedem Laden eine Backdoor-Datei B). Das Suchen nach base64und evalin allen PHP-Dateien auf dem Server ist ein guter Anfang. Vergessen Sie nicht mediaund varVerzeichnisse, diese sind beliebt, um Hintertüren zu verstecken, weil sie normalerweise weniger überwacht werden. Es gibt auch Tools, die Ihnen helfen könnten. Suchen Sie im Zweifelsfall einen Sicherheitsexperten, um den Code zu überprüfen.
  3. Suche nach böswilligen Erweiterungen: Ein möglicher Angriff besteht darin, Zugriff auf das Magento-Administrationsfenster zu erhalten und eine "Dateimanager" -Erweiterung zu installieren. Überprüfen Sie, ob kürzlich Erweiterungen installiert wurden, die Sie nicht kennen. Überprüfen Sie auch die admin_userDatenbanktabelle auf zusätzliche Administratorkonten und entfernen Sie diese.
  4. Ändern Sie alle Passwörter (Magento-Administrator, Datenbank, ...).
  5. Installieren Sie alle Sicherheitspatches für Ihre Magento-Version (ein vollständig gepatchtes Magento 1.7 ist genauso sicher wie Magento 1.9, sodass ich den Aufwand für die Aktualisierung für später ersparen würde).
  6. Aktualisieren Sie Ihre Erweiterungen und Ihr Thema, da diese auch eine potenzielle Quelle für Exploits darstellen
  7. Wenn andere Anwendungen in derselben Umgebung ausgeführt werden (z. B. Wordpress), überprüfen und aktualisieren Sie sie ebenfalls
  8. Gehen Sie wieder online. Oder noch besser: Sichern Sie Ihre Datenbank und die benötigten Dateien, löschen Sie den Server und richten Sie ihn von Grund auf neu ein.
Fabian Schmengler
quelle
1

Der beste Weg, eine Website zu kompromittieren, besteht darin, ein Backup vor dem Hack wiederherzustellen. Aktualisieren Sie dann diese Version.

Wenn der Hack Wochen alt ist und die Verwendung eines Bakcups keine Option ist, würde ich eine vollständige Neuinstallation empfehlen und Ihre Produkte übertragen.

Das Übertragen von Benutzern und ihren Ordnungen ist möglich, aber sehr schwierig und daher teuer.

Bleiben Sie in Zukunft auf Sicherheitsupdates eingestellt.

Maxanoo
quelle
Hallo Danke. Der Kompromiss ist vor ungefähr einem Monat zustande gekommen. Seit dem letzten Backup wurde ehrlich gesagt nicht viel getan, daher wird es wahrscheinlich keinen großen Unterschied in Bezug auf den Inhalt machen, aber ich bin nicht davon überzeugt, dass dadurch die schädlichen Dateien beseitigt werden?
itsk2015
1

Fabians Antwort ist solide, zumindest soweit eine technisch fokussierte Antwort gehandhabt werden sollte. Ein Sicherheitsvorfall wie dieser ist jedoch eine Herausforderung, die mit Antworten sowohl aus technischer als auch aus geschäftlicher Sicht angegangen werden muss. Angesichts der geschäftlichen Auswirkungen sind potenzielle regulatorische und vertragliche Anforderungen enthalten, die sich speziell auf die technischen Maßnahmen auswirken, die Sie möglicherweise durchführen müssen. Ich dachte, ich würde sie in dieser Antwort zusammen skizzieren.

Bevor Sie eine der von Fabian empfohlenen technischen Aktivitäten ausführen, überprüfen Sie Folgendes und stellen Sie fest, welche aufgrund der Vorschriften, denen Sie an Ihrem Standort unterliegen, und der Verträge, die Sie mit Ihren ausstellenden Banken, Gateway-Anbietern und Verarbeitungsdienstleistern geschlossen haben, gegebenenfalls zulässig sind.

  1. Nehmen Sie sich zunächst etwas Zeit, um den offiziellen Best Practices-Leitfaden für Magento-Sicherheit zu lesen . Es enthält eine Fülle von Informationen, die Ihnen helfen, mit einer kompromittierten Installation umzugehen und zu verhindern, dass dies in Zukunft geschieht.

    Es basiert auf der Arbeit des Magento-Sicherheitsteams sowie auf dem Wissen, das mehrere Magento-Sicherheitsexperten hier in Magento Stack Exchange und in den Magento-Community-Foren ausgetauscht haben.

  2. Wenn diese Site ein reales Transaktionsvolumen generiert, sollten Sie wahrscheinlich nicht versuchen, das Problem vollständig selbst zu beheben.

    Wenden Sie sich an einen Magento-Sicherheitsexperten, der mit allen folgenden Themen vertraut ist:

    • Die spezifische Magento-Version, die Sie ausführen
    • Die Gesetze zu Datenschutzverletzungen, Datenschutz und Kundenbenachrichtigungsanforderungen, die für Händler gelten, die in Ihrer geografischen Region tätig sind und / oder sich in dieser befinden.
    • Überprüfen von Verträgen und Geschäftspartnervereinbarungen mit dem Gateway-Anbieter, den Verarbeitungsdiensten und den Kreditkartenunternehmen Ihres Händlers

Abhängig von Ihrem Standort unterliegen Sie möglicherweise lokalen, regionalen und / oder nationalen Gesetzen, nach denen Sie entweder ganz bestimmte Maßnahmen als Reaktion auf ein Sicherheitsereignis durchführen oder die Unterstützung einer speziell lizenzierten Person (oder eines Unternehmens) in Anspruch nehmen müssen als Spezialist für forensische Informationssicherheit.

Darüber hinaus kann das Kleingedruckte der Kreditkartenverarbeitungsvereinbarungen, die mit dem Credit Card Merchant Gateway, dem Finanzinstitut, der ausstellenden Bank und den Kreditunternehmen des Geschäfts selbst unterzeichnet wurden, erfordern, dass andere spezifische Maßnahmen durchgeführt werden und dass Strafverfolgungsbehörden beauftragt werden oder dass das Geschäft dies tut verantwortlich gemacht für alle Anklagen, die dem / den Angreifer (n) entstehen.

Abhängig von Ihrem Standort kann Ihr Geschäft gesetzlich verpflichtet sein, die Kunden auf ganz bestimmte Weise über den Datenverstoß zu informieren, und die Nation / Staaten, in denen Ihre Kunden wohnen, können zusätzliche Anforderungen an die Benachrichtigung betroffener Kunden stellen. Die Nichteinhaltung dieser Anforderungen kann dazu führen, dass das Geschäft für Bußgelder und Strafen haftet, die außerhalb der von Ihrem Verarbeitungsunternehmen oder Gateway-Anbieter auferlegten Kosten liegen.

Diese Gesetze und vertraglichen Anforderungen variieren stark zwischen verschiedenen geografischen Regionen sowie zwischen verschiedenen Finanzinstituten und Unternehmen, die Händlern Clearing- und Gateway-Dienste anbieten. Daher ist es wichtig, die Dienste einer Person in Anspruch zu nehmen, die sowohl Magento-Sicherheitsexperte als auch mit den Gesetzen vertraut ist spezifisch für Ihren geografischen Standort und wer kann Sie sowohl bei den technischen Anstrengungen zur Behebung Ihrer gehackten Site als auch bei den Geschäftsaktivitäten unterstützen, die für Verträge erforderlich sind, die vom Händler abgeschlossen wurden.

Wenn Sie einen entsprechend erfahrenen Partner identifiziert haben, der Sie bei Ihren Abhilfemaßnahmen unterstützt, bitten Sie ihn, die nächsten technischen Schritte zu bestätigen, einschließlich Maßnahmen wie die Abbildung des gefährdeten Systems, die Kontaktaufnahme mit den Strafverfolgungsbehörden, die Trennung des Systems vom Netzwerk und die Untersuchung der Betroffenen Systeme.

ERINNERN SIE SICH: Sie sind nicht mehr im Besitz von NUR einem gehackten System! . Ihre kompromittierte Magento-Installation ist jetzt auch ein AKTIVER Tatort, und in vielen Ländern ist das Verbrechen schwerwiegend. In den USA handelt es sich fast überall um ein Verbrechen (schweres Verbrechen) mit spezifischen Verboten gegen Manipulationen an Beweismitteln, die von den Tätern der Straftat ohne angemessene Aufsicht durch lizenziertes Personal und / oder Strafverfolgungsfachkräfte zurückgelassen wurden.

Es wäre unklug, das System wieder in einen funktionierenden Zustand zu versetzen, nur um herauszufinden, dass Sie selbst gerade ein Verbrechen begangen haben, das mit Geldstrafe und / oder Gefängnis bestraft wird. Standard-Haftungsausschluss: Ich bin kein Anwalt und dies ist keine Rechtsberatung.

Siehe auch:

  1. Was solltest du mit der gehackten Installation machen? - verwandte Frage hier auf Magento Stack Exchange.
  2. Visa-Datensicherheitsressourcen für kleine Unternehmen
  3. MasterCard-Regeln und Compliance-Programme für Prozessoren und Händler
  4. American Express US-Händlersicherheitsrichtlinien
  5. Entdecken Sie Ressourcen für Kartenbetrug und Sicherheit für Händler
  6. Experian-Ressourcen für Datenverletzung und Benachrichtigung

Hinweis: Die meisten der oben genannten Links verweisen auf Ressourcen, die speziell für US-Händler geschrieben wurden. Sie enthalten jedoch auch Links für Händler in anderen Regionen sowie Kontaktinformationen, mit denen Sie die spezifischen Sicherheits-Support-Teams beauftragen können, Sie an Ihrem eigenen Standort zu unterstützen.

Bryan 'BJ' Hoffpauir Jr.
quelle
0

Sie können auch einen Unterschied zwischen Ihrem Code und dem Originalcode ausführen, um verdächtige Dateien zu finden.

Vergessen Sie nicht, Ihren Shop zu sichern, indem Sie anschließend die Sicherheitspatches installieren. Andernfalls werden Sie wahrscheinlich wieder gekackt.

Maxanoo
quelle