La tienda Magento no es segura

Recientemente me hice cargo de la gestión de una tienda Magento. Ayer recibimos un correo electrónico de una empresa de TI que indica que nuestra tienda no era segura. Aunque dudo de la legitimidad del correo electrónico, mostró el último pedido en la tienda, la cantidad de clientes registrados y el último producto agregado.

Desde que me convertí en administrador recientemente, después de la realización, no sé exactamente qué medidas de seguridad se han tomado. De lo siguiente estoy seguro:

• Hay una ruta personalizada para el panel de administración
• Los datos se envían a través de https
• La contraseña de administrador es una cadena de letras mayúsculas o minúsculas aleatorias

Si este correo es legítimo, ¿cómo puedo solucionar este problema?

¿Instalaste todos los parches? https://www.magentocommerce.com/download#cat_1735_files

Después de aplicar los parches, cambie todas las contraseñas de administrador.

Y los módulos de terceros instalados pueden hacer lo que quieran, por ejemplo, hacer grandes agujeros de seguridad en magento.

Verifique la seguridad de su tienda en https://shoplift.byte.nl/

Verifique su cuenta de back-end, elimine correctamente, no necesitan

Instalar todos los parches. En http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/ puede ver qué parche para qué versión necesitará.

Revise los módulos de terceros si puede.

Según la descripción del OP, es difícil determinar el estado actual del sistema con respecto a un Magento comprometido. Desafortunadamente, como discuto a continuación, la instalación de las soluciones no resolverá su problema si ya está comprometido. Solo detienen futuros ataques, NO HACEN NADA PARA ARREGLAR UN SISTEMA QUE YA ESTÁ COMPROMETIDO.

Hemos documentado nuestra investigación para proporcionar una lista de firmas de ataque conocidas para que pueda verificar sus sistemas en busca de evidencia de ellas y responder en consecuencia. Tenga en cuenta que nunca hemos visto dos compromisos que sean exactamente iguales, por lo que existe la posibilidad de que su sistema en particular sea ligeramente diferente: si descubre algo en su sistema que aún no tenemos documentado, comparta eso con nosotros. podemos actualizar la guía de firma de ataque o simplemente bifurcar, actualizar y enviar una solicitud de extracción.

Estamos trabajando en un kit de herramientas para automatizar la reparación de estos elementos, pero pueden pasar una o dos semanas hasta que esté listo para su distribución. Mientras tanto, estamos compartiendo el conocimiento que hemos adquirido trabajando a través de estos compromisos con todos en la comunidad en un esfuerzo por asegurarnos de que todos estén tan seguros como se puede esperar.

Incluyo a continuación un proceso de análisis y respuesta de seguridad de 3 pasos en el que hemos trabajado una y otra vez para obtener resultados consistentes. La suposición clave que tendrá que hacer es que no puede saber qué se ha comprometido o no hasta que diferencie los archivos en su sistema contra el código fuente predeterminado proporcionado por Magento o una copia que haya hecho en su (Git / Mercurial / SVN) repositorio. DEBE ASUMIR que su base de datos e inicios de sesión se han visto comprometidos y cambiarlos todos.

NOTA CRÍTICA: Instalar los parches de Magento NO lo ayudará si ya se ha visto comprometido. En el mejor de los casos, detendrá los compromisos ADICIONALES de los tipos conocidos, pero si ya está comprometido, tendrá que AMBOS instalar los parches y corregir su sistema como lo destacamos a continuación.

Fase 1: Identifique el alcance de su compromiso. Todos y cada uno de los elementos que enumero a continuación son firmas que hemos descubierto en sitios comprometidos de Magento específicamente relacionados con los anuncios de vulnerabilidad SUPEE-5344 y SUPEE-5994. Después de haber instalado los parches más recientes ( y cualquier otro que necesite instalar desde Magento ), debe revisar cada uno y verificar si encuentra alguna evidencia de la firma en su sistema. Muchos de ellos son suficientes por sí mismos para permitir que un atacante vuelva a ingresar a su sistema después de que lo parchea, por lo que deberá ser diligente y asegurarse de no omitir nada o no corregirlo.

También puede usar el escáner en línea de Magento , pero en general solo le dirá si ha instalado los parches y ha evitado compromisos futuros. Si ya ha sido comprometido, estos no buscarán otras puertas traseras o ataques que puedan haberse instalado cuando fue atacado por primera vez. al menos ninguno de los que probamos encontró las firmas que descubrimos. La defensa en profundidad es el camino a seguir, lo que significa múltiples escaneos y revisiones desde múltiples herramientas y perspectivas si desea confiar en los resultados.

Fase 2: elimine lo que debe y reemplace lo que pueda: use los archivos originales de su repositorio o los archivos fuente de Magento. Si no está ejecutando una de las últimas versiones, aún puede usar la página de descarga de Magento para obtener fuentes de versiones anteriores de su sitio.

Fase 3: RESTABLECER credenciales: haga un inventario de cada uso de un nombre de usuario y contraseña relacionados de forma remota con su implementación y restablezca todos, incluidos

• Inicios de sesión de cuenta de comerciante y claves API
• Inicio de sesión y contraseñas de administrador de Magento
• Credenciales de cuenta de correo electrónico
• LDAP / AD / Sistema de autenticación primaria
• Contraseñas
• TODO
• Puede estar razonablemente seguro de que los pasos anteriores lo ayudarán a purgar a las moscas infectadas, pero no puede saber si las contraseñas se han rastreado o se han registrado claves o la víctima de algún otro ataque, por lo que restablecer todas las credenciales relacionadas es la opción más segura si va a Intentar remediar un sistema comprometido.

La guía es demasiado larga para publicarla en esta respuesta, pero la lista de firmas se puede descargar de inmediato en nuestro repositorio GitHub de Magento Security Toolkit .

Las cosas que ha enumerado son buenos primeros pasos, pero de ninguna manera son lo único que debe hacer para que su sitio sea seguro.

Exactamente lo que es inseguro acerca de su sitio, nadie podrá responder, al menos sin mirar su sitio. Realmente depende de su configuración, por ejemplo, si está usando apache o nginx, ¿están configurados correctamente? ¿Has instalado los últimos parches de seguridad de magento ?

Si pudieran informarle sobre el último pedido y la cantidad de clientes registrados, lo tomaría en serio ...

Aunque dudo de la legitimidad del correo electrónico, mostró el último pedido en la tienda, la cantidad de clientes registrados y el último producto agregado.

Eso suena legítimo ...

No creo que se haya mencionado esto, pero algunos de estos correos electrónicos de pesca pueden ser de compañías correctas, y al menos puede valer la pena ver lo que cobrarían para solucionar el problema. (Parece que tendrían una buena idea por dónde empezar) Si la empresa parece sombría, entonces sí, evítela.

Hay algunos buenos puntos arriba; si va a hacer esto usted mismo, debe diferenciar los archivos con los puntos de inicio conocidos o, quizás sea más fácil (según su configuración) instalar un Magento nuevo en otro servidor e ir desde allí (instalar versiones nuevas de cualquier extensión que tenga, importe los productos (puede ser rápido usando una herramienta como Magmi), y finalmente exporte sus pedidos / clientes desde el sitio actual, y luego importe a la nueva configuración).