Nachdem die Nachricht vor einigen Tagen veröffentlicht wurde, habe ich nicht viel - und keine offizielle Erklärung - über die neueste Sicherheitsanfälligkeit gehört. Sucuri sagt, dass es möglich ist, Kreditkarteninformationen oder sogar alle $_POST
Daten einschließlich Administratorkennwörter und dergleichen zu erhalten.
Ich hatte noch keinen Fall, in dem ein Client gehackt wurde, möchte aber nicht warten, bis dies geschieht. Hat jemand schon einen Patch gesehen?
security
magento-ce
simonthesorcerer
quelle
quelle
Antworten:
Welche Art von Patch oder offizieller Erklärung erwarten Sie? Der Blog-Beitrag besagt nur, dass eine Webanwendung kompromittiert werden kann, sobald der Angreifer Zugriff auf den Code hat. Das gilt für jede Webanwendung. Der Begriff Magento ist dort vollständig austauschbar. Derzeit haben sie keine Ahnung, wie der betroffene Host kompromittiert wurde. Die offene Tür in den angegebenen Beispielen könnte alles sein, von Serverproblemen bis zu "Schicht 8".
Solange sie so vage bleiben und keine wertvollen Informationen liefern, ist alles Marketing wie das Verbreiten ihres Firmennamens, Wellen schlagen, sich als Sicherheitsexperten positionieren usw. Kombinieren von Schlagworten wie "stehlen" "Kreditkarte" " Magento "macht offensichtlich eine gute Geschichte.
Was wir noch aus diesem Beitrag lernen können:
Update: Es gibt jetzt eine offizielle Erklärung von Ben Marks .
quelle
Solange Ihre Magento-Version auf dem neuesten Stand ist, haben Sie alle neuesten Patches installiert und Ihr Server erfüllt die bewährten Methoden für die Einrichtung (Dateiberechtigungen, keine andere Software / Website, Firewall usw.). Dies ist alles, was Sie jetzt tun können .
Ich denke, es ist wichtig zu erwähnen, dass es noch keinen bestimmten Angriffsvektor gibt:
Bearbeiten:
Wie in meinem Kommentar oben erwähnt, können Sie auch die ausführliche Antwort von Ben Lessani auf eine andere verwandte Frage lesen, die einige Hintergrundinformationen enthält: /magento//a/72697/231
quelle
Nicht (nur) Magento
Ich habe viele andere Websites gesehen, die auf diese Weise gehackt wurden und bösartigen Code in die Codebasis eingefügt haben, und zwar nicht nur in Magento. Und es gibt viele Varianten: Skripte, die POST-Daten stehlen, Skripte, die XSS hinzufügen, Skripte, die versuchen, Root-Passwörter zu stehlen, Skripte, mit denen eingehende Anrufe Daten verarbeiten können (für Bitcoin-Mining, um Spam-E-Mails von diesem Server zu senden) usw.
In einigen Fällen wurden die FTP-Anmeldeinformationen (durch Viren / Malware) von einem Client-Computer gestohlen, in anderen Fällen wurde ein Exploit in der Anwendung verwendet.
Es gibt viele andere Anwendungen, die über Exploits Zugriff auf den Server gewähren können, beispielsweise WordPress.
Es gibt nur einen Fall, in dem Magento schuld wäre und eine Aktion von Magento zu erwarten ist: Wenn die ausgenutzte Anwendung Magento der neuesten Version und vollständig gepatcht wäre.
Es besteht also nur eine geringe Wahrscheinlichkeit, dass dieser eine hervorgehobene Fall in erster Linie durch einen Fehler in Magento verursacht wurde. Deshalb hört man nichts von Magento.
Das Neue hier ist, dass der eingefügte Code sehr spezifisch auf Magento abzielt und die Codearchitektur und -prinzipien von Magento verwendet.
Was ist zu tun
Geben Sie nun eine Antwort auf Ihre Frage "Was tun?"
Führen Sie niemals zwei verschiedene Anwendungen auf derselben Serverinstanz
wie WordPress + Magento aus. Manchmal läuft WordPress wie unter www.magentoshop.com/blog/ oder Magento unter www.wordpresswebsite.com/shop/. Tu das nicht. Exploits in WordPress können dem Angreifer Zugriff auf Ihre Magento-Daten gewähren.
Verwenden Sie ein Versionskontrollsystem
Ich verwende GIT und habe dieses auch auf dem Server (schreibgeschützter Zugriff), um die Website bereitzustellen. Dies gibt mir auch einen schnellen Einblick in Änderungen am System durch Ausführen
git status
.Verwenden Sie niemals FTP, nur SFTP, und speichern Sie niemals Passwörter, die
ich oben erwähnt habe, dass FTP-Passwörter von einem Client-Computer gestohlen wurden. Auch die Verwendung von FTP ist nicht sicher, da Daten unverschlüsselt über das Internet gesendet werden. Verwenden Sie also SFTP und speichern Sie Ihre Passwörter niemals in Ihrer FTP-Anwendung. Seien Sie einfach nicht faul und geben Sie sie jedes Mal ein, wenn Sie eine Verbindung zu Ihrem Server herstellen.
quelle