OP'nin açıklamasına dayanarak, tehlikeye atılan bir Magento'ya göre sistemin mevcut durumunu belirlemek zordur. Ne yazık ki, aşağıda tartıştığım gibi, zaten tehlikeye girmişseniz düzeltmeleri yüklemek sorununuzu çözmez. Sadece gelecekteki saldırıları durdururlar, ZATEN KAPSANAN BİR SİSTEMİ DÜZELTMEK İÇİN HER ŞEY YAPMAYIN.
Bilinen saldırı imzalarının bir listesini sağlamak için araştırmalarımızı belgeledik, böylece sistemlerinizi bunlara ilişkin kanıtlar açısından kontrol edip buna göre yanıt verebilirsiniz. Asla aynı iki taviz görmediğimizi unutmayın, bu nedenle belirli sisteminizin biraz farklı olma şansı vardır - sisteminizde henüz belgelemediğimiz bir şey keşfederseniz, lütfen bunu bizimle paylaşın. saldırı imzası kılavuzunu güncelleyebilir veya sadece çatallayabilir, bir çekme isteği güncelleyebilir ve gönderebiliriz.
Bu öğenin düzeltilmesini otomatikleştirmek için bir araç seti üzerinde çalışıyoruz, ancak dağıtım için hazır hale gelmesi bir veya iki hafta sürebilir. Bu arada, herkesin beklendiği kadar güvenli olduğundan emin olmak için bu uzlaşmalarla çalışarak edindiğimiz bilgileri topluluktaki herkesle paylaşıyoruz .
Tutarlı sonuçlar elde etmek için aşağıda tekrar tekrar çalıştığımız 3 Adımlı Güvenlik Analizi ve Yanıt Süreci'ni ekliyorum. Yapmanız gereken temel varsayım, sisteminizdeki dosyaları Magento tarafından sağlanan varsayılan kaynak koduna veya yaptığınız bir kopyaya göre ayırana kadar neyin tehlikeye atıldığını veya neyin ihlal edilmediğini bilemeyeceğinizdir. (Git / Mercurial / SVN) deposu. Veritabanınızın ve girişlerinizin güvenliği ihlal edildiğini ve bunların hepsini değiştirdiğinizi varsaymalısınız.
ELEŞTİREL NOT: Yamaların Magento'dan kurulması, zaten tehlikeye düştüğünüzde size yardımcı OLMAYACAKTIR. En iyi ihtimalle, bilinen türlerin EK güvenliğini durduracaktır, ancak zaten tehlikeye düştüyseniz, yamaları yüklemeniz ve aşağıda vurguladığımız gibi sisteminizi düzeltmeniz gerekecektir.
Aşama 1: Uzlaşmanızın kapsamını belirleyin. Aşağıda listelediğim öğelerin her biri, özellikle SUPEE-5344 ve SUPEE-5994 güvenlik açığı duyurularıyla ilgili güvenliği ihlal edilmiş Magento sitelerinde keşfettiğimiz imzalardır. En son yamaları ( ve Magento'dan yüklemeniz gerekebilecek diğerlerini ) yükledikten sonra , her birini gözden geçirmeniz ve sisteminizde imzaya ilişkin herhangi bir kanıt bulup bulmadığınızı kontrol etmeniz gerekir. Birçoğu, bir saldırganın yama yaptıktan sonra sisteminize yeniden girmesine izin vermek için tek başına yeterlidir, bu yüzden çalışkan olmanız ve hiçbir şeyi atlamamanız veya düzeltemediğinizden emin olmanız gerekir.
Magento'nun çevrimiçi tarayıcısını da kullanabilirsiniz , ancak bunlar genellikle yamaları yüklediyseniz ve gelecekteki uzlaşmaları engellediğinizi söyleyecektir. Zaten tehlikeye düştüyseniz, bunlar ilk saldırıya uğradığınızda yüklenmiş olabilecek diğer arka kapıları veya saldırıları taramayacaktır. test ettiğimiz en azından hiçbiri keşfettiğimiz imzaları bulamadı. Derinlemesine savunma, gidilecek yoldur, sonuçlara güvenmek istiyorsanız, birden çok araç ve perspektiften çoklu tarama ve inceleme anlamına gelir.
Aşama 2: Yapmanız gerekeni silin ve yapabileceklerinizi değiştirin: orijinal dosyaları deponuzdan veya Magento kaynak dosyalarından kullanın. En son sürümlerden birini çalıştırmıyorsanız, yine de Magento indirme sayfasını kullanarak eski sürüm kaynaklarını sitelerinden alabilirsiniz.
3. Aşama: Kimlik Bilgilerini SIFIRLA: Dağıtımınızla ilgili bir oturum açma adı ve parolanın her kullanımını uzaktan envantere alın ve aşağıdakileri de dahil olmak üzere hepsini sıfırlayın
- Satıcı Hesabı Girişleri ve API Anahtarları
- Magento Yönetici Girişleri ve Şifreleri
- E-posta hesabı kimlik bilgileri
- LDAP / AD / Birincil Kimlik Doğrulama Sistemi
- Şifreler
- HER ŞEY
- Önceki adımların virüs bulaşmış olanları temizlemenize yardımcı olacağından makul bir şekilde emin olabilirsiniz, ancak şifrelerin koklandığını veya anahtar günlüğüne kaydedilip kaydedilmediğini veya başka bir saldırının kurbanı olduğunu bilemezsiniz, bu nedenle, ilgili tüm kimlik bilgilerini sıfırlamak en güvenli seçenektir güvenliği ihlal edilmiş bir sistemi düzeltmeye çalışmak.
Kılavuz bu yanıta yüklenemeyecek kadar uzun, ancak imza listesi Magento Güvenlik Araç Seti GitHub depomuzdan hemen indirilebilir .