Magento商店不安全

最近，我接管了Magento商店的管理。昨天，我们收到了一家IT公司发来的电子邮件，说我们的商店不安全。尽管我怀疑电子邮件的合法性，但它确实显示了商店中的最后订单，注册客户的数量和最后添加的产品。

自从我最近成为管理员以来，在实现之后，我不完全知道已采取了哪些安全措施。我肯定知道以下几件事：

• 管理面板有一个自定义路径
• 数据通过https发送
• 管理员密码是由随机的大小写字母组成的字符串

如果这封邮件是合法的，我该如何解决此问题？

您是否安装了所有补丁？https://www.magentocommerce.com/download#cat_1735_files

应用补丁程序后，更改所有管理员密码。

而且无论安装了什么第三方模块，都可以做任何他们想做的事，例如在magento中制造较大的安全漏洞。

通过https://shoplift.byte.nl/检查您的商店安全性

检查您的后端帐户，删除他们不需要的权限

安装所有补丁。在http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/上，您可以看到需要哪个版本的补丁。

如果可以，请复查第三方模块。

根据OP的描述，很难确定受感染的Magento的系统当前状态。不幸的是，正如我在下面讨论的那样，如果您已经受到威胁，则安装修补程序将无法解决您的问题。他们只会阻止将来的攻击，他们不会做任何事情来修复已经损坏的系统。

我们已经记录了我们的研究，以提供已知攻击特征的列表，以便您可以检查系统以获取它们的证据并作出相应的响应。请记住，我们从未见过两个完全相同的折衷方案，因此您的特定系统可能会略有不同-如果您发现系统上尚未记录的任何内容，请与我们分享，以便我们可以更新攻击特征指南，也可以只是进行分叉，更新并提交拉取请求。

我们正在开发一个工具包，用于自动修复这些项目，但可能要一两个星期才能准备好分发。同时，我们将与社区中的每个人分享通过这些折衷所获得的知识，以确保每个人都像预期的那样安全。

我在下面包括一个三步安全性分析和响应过程，我们反复研究以获取一致的结果。您将要做出的主要假设是，直到您将系统中的文件与Magento提供的默认源代码或您在自己的副本中创建的副本进行比较后，您才能知道哪些漏洞已经被破坏。 （Git / Mercurial / SVN）存储库。您应该假设您的数据库和登录名已被泄露，请全部更改。

重要提示：如果您已经受到攻击，则从Magento安装补丁将无济于事。充其量，它将阻止已知类型的其他损害，但是，如果您已经受到损害，则必须同时安装补丁并修复系统，如下所述。

阶段1：确定折衷范围。我在下面列出的每一项都是我们在受感染的Magento网站上发现的签名，这些签名专门与SUPEE-5344和SUPEE-5994漏洞公告有关。在安装了最新的补丁程序（以及可能需要从Magento安装的所有其他补丁程序）之后，您需要仔细阅读每个补丁程序，并检查是否在系统上找到签名的任何证据。它们中的许多本身就足以使攻击者在修补系统后重新进入您的系统，因此您必须勤奋工作，并确保不要跳过任何内容或无法对其进行补救。

您也可以使用Magento的在线扫描仪，但总的来说，它们只会告诉您是否已安装补丁程序并防止将来受到损害。如果您已经受到攻击，则这些文件不会扫描其他后门或您初次受到攻击时可能已经安装的攻击。至少没有一个我们测试过的人找到我们发现的签名。纵深防御是必经之路，如果您想对结果有信心，这意味着可以从多种工具和角度进行多次扫描和审查。

阶段2：删除您必须删除的内容，然后替换掉您可以做什么：使用存储库中的原始文件或Magento源文件。如果您没有运行最新版本之一，则仍然可以使用Magento下载页面从其站点中获取较旧的版本源。

阶段3： RESET凭据：清点与您的部署远程相关的登录名和密码的所有使用，并将所有重置，包括

• 商家帐户登录名和API密钥
• Magento管理员登录名和密码
• 电子邮件帐户凭证
• LDAP / AD /主认证系统
• 密码
• 一切
• 您可以合理地确定前面的步骤将帮助您清除受感染的fies，但是您不知道密码是否已被嗅探或记录了密钥或其他攻击的受害者，因此如果要执行以下操作，则重置所有相关凭据是最安全的选择尝试修复受损的系统。

该指南太长，无法在此回复中发布，但签名列表可以立即在我们的Magento Security Toolkit GitHub存储库中下载。

您列出的内容是很好的第一步，但这绝不是确保站点安全所需的唯一步骤。

确实，关于您的网站的不安全之处是，至少在不查看您的网站的情况下，没有人能够回答。这实际上取决于您的设置，例如，如果您使用的是apache或nginx，它们的配置是否正确？您是否安装了所有最新的magento 安全补丁？

如果他们能够告诉您最近的订单和注册客户的数量，我将认真对待...

尽管我怀疑电子邮件的合法性，但它确实显示了商店中的最后订单，注册客户的数量和最后添加的产品。

听起来很合法...

我认为这没有被提及，但是其中一些钓鱼电子邮件可能来自于好的公司，至少值得一提的是，看看他们将如何解决该问题。（这听起来好像他们从哪里开始都有个好主意）。如果公司看上去很阴暗，那就回避。

上面有一些好处；如果您要自己执行此操作，则需要将文件与已知的起点进行比较，或者可能更容易（取决于您的设置）是在另一台服务器上安装新的Magento，然后从那里开始（安装新版本）您拥有的所有扩展中，导入产品（可以使用Magmi等工具快速完成），最后从当前站点导出您的订单/客户，然后导入到新的设置中。