Na podstawie opisu PO trudno jest określić aktualny stan systemu w odniesieniu do skompromitowanego Magento. Niestety, jak omówię poniżej, instalacja poprawek nie rozwiąże problemu, jeśli jesteś już zagrożony. Zatrzymują tylko przyszłe ataki, NIE robią nic, aby naprawić system, który jest już skompromitowany.
Udokumentowaliśmy nasze badania w celu zapewnienia listę znanych sygnatur ataków , abyś mógł sprawdzić swoje systemy pod kątem ich dowodów i odpowiednio zareagować. Pamiętaj, że nigdy nie widzieliśmy dwóch kompromisów, które są dokładnie takie same, więc istnieje szansa, że Twój system może się nieco różnić - jeśli odkryjesz w systemie coś, czego jeszcze nie udokumentowaliśmy, podziel się z nami tym, aby możemy zaktualizować przewodnik po sygnaturze ataku lub po prostu rozwidlić, zaktualizować i przesłać żądanie ściągnięcia.
Pracujemy nad zestawem narzędzi do zautomatyzowania naprawy tych elementów, ale może minąć tydzień lub dwa, zanim będzie gotowy do dystrybucji. W międzyczasie jesteśmy dzielimy się wiedzą, którą zdobyliśmy dzięki tym kompromisom ze wszystkimi członkami społeczności, aby upewnić się, że wszyscy są tak bezpieczni, jak można się spodziewać.
Poniżej przedstawiam 3-etapowy proces analizy i reakcji bezpieczeństwa, nad którym wielokrotnie pracowaliśmy, aby uzyskać spójne wyniki. Kluczowym założeniem, które musisz podjąć, jest to, że nie możesz wiedzieć, co zostało lub nie zostało naruszone, dopóki nie różnicujesz plików w systemie względem domyślnego kodu źródłowego dostarczonego przez Magento lub kopii, którą wykonałeś Repozytorium (Git / Mercurial / SVN). POWINIENEŚ PRZYJMOWAĆ, że baza danych i loginy zostały naruszone, i zmień je wszystkie.
UWAGA KRYTYCZNA: Zainstalowanie łatek z Magento NIE BĘDZIE ci pomóc, jeśli już byłeś zagrożony. W najlepszym wypadku zatrzyma DODATKOWE kompromisy znanych typów, ale jeśli już jesteś zagrożony, musisz ZARÓWNO zainstalować łatki i naprawić swój system, jak podkreślamy poniżej.
Faza 1: Określ zakres swojego kompromisu. Każdy z wymienionych poniżej elementów to sygnatury, które odkryliśmy w zainfekowanych witrynach Magento, szczególnie w związku z ogłoszeniami o lukach w zabezpieczeniach SUPEE-5344 i SUPEE-5994. Po zainstalowaniu najnowszych łat ( i wszelkich innych, które mogą wymagać instalacji z Magento ), musisz przejrzeć każdą z nich i sprawdzić, czy znajdziesz jakieś dowody podpisu w swoim systemie. Wiele z nich jest wystarczających, aby umożliwić atakującemu ponowne wejście do systemu po jego załataniu, więc musisz być pilny i upewnić się, że niczego nie pominiesz lub nie naprawisz go.
Możesz także użyć skanera online z Magento , ale ogólnie rzecz biorąc , tylko one powiedzą ci, czy zainstalowałeś łatki i zapobiegłeś przyszłym kompromisom. Jeśli masz już zaatakowane zabezpieczenia, nie będą one skanować w poszukiwaniu innych tylnych drzwi lub ataków, które mogły zostać zainstalowane podczas pierwszego ataku. przynajmniej żaden z testowanych przez nas nie znalazł podpisów, które znaleźliśmy. Głęboka obrona to droga, która oznacza wiele skanów i recenzji z wielu narzędzi i perspektyw, jeśli chcesz być pewny wyników.
Faza 2: Usuń to, co musisz, i zastąp to, co możesz: użyj oryginalnych plików z repozytorium lub plików źródłowych Magento. Jeśli nie korzystasz z jednej z najnowszych wersji, nadal możesz użyć strony pobierania Magento, aby pobrać źródła starszych wersji z ich witryny.
Faza 3: RESETUJ Poświadczenia: Zanotuj każde użycie nazwy logowania i hasła zdalnie związane z twoim wdrożeniem i zresetuj je wszystkie, w tym
- Loginy do konta sprzedawcy i klucze API
- Loginy i hasła administratora Magento
- Poświadczenia konta e-mail
- LDAP / AD / Primary Authentication System
- Hasła
- WSZYSTKO
- Możesz mieć całkowitą pewność, że powyższe kroki pomogą ci usunąć zainfekowane fy, ale nie możesz wiedzieć, czy hasła zostały powąchane, czy zarejestrowane kluczem, czy ofiarą innego ataku, więc zresetowanie wszystkich powiązanych danych uwierzytelniających jest najbezpieczniejszą opcją, jeśli zamierzasz próba naprawy zaatakowanego systemu.
Przewodnik jest zbyt długi, aby opublikować w tej odpowiedzi, ale listę podpisów można natychmiast pobrać z naszego repozytorium GitHub Magento Security Toolkit .