应对最新漏洞:信用卡数据被盗怎么办?


11

几天前消息传出后,关于最新漏洞,我还没有听到太多-也没有官方声明。Sucuri说有可能接收信用卡信息,甚至所有$_POST数据,包括管理员密码等。

我还没有遇到过客户端被黑客入侵的情况,但是不想等到这种情况发生时才采取行动。有人看过补丁吗?


鉴于最新的Sucuri文章,您可能也对@Ben Lessani(Sonassi)的答案感兴趣:magento.stackexchange.com/a/72697/231
AnnaVölkl'15年

Answers:


8

您期望什么样的补丁或官方声明?博客文章只说,一旦攻击者访问了代码,Web应用程序便可能受到威胁。这适用于每个Web应用程序。术语的Magento是完全可以互换存在。当前,他们不知道受影响的主机是如何受到威胁的。在给定示例中,敞开的大门可能是一切,从服务器问题到“第8层”。

只要他们保持这种模糊性,并且不提出有价值的信息,这几乎都是营销活动,例如传播公司名称,大张旗鼓,将自己定位为安全专家等。 《 Magento》显然是个好故事。

我们仍然可以从这篇文章中学到什么:

  • 定期查看您的代码库是否发生意外更改。
  • 将付款数据处理留给PSP处理。

更新:现在本·马克斯官方声明


是的,我知道来源非常明确。我也不知道他们是否已就此问题与Magento / eBay联系。无论如何,它仍然有可能(并且在过去的几个月中发生过两次)是一个核心错误,而且我希望至少有一个这样的声明:“我们正在调查”或“不是我们的错,某些模块”。
simonthesorcerer 2015年

我同意,根本原因也可能是数以千计的扩展之一或任何(未修补的)Magento版本。仍然缺乏信息以采取针对性的行动。
mam08ixo

3

只要您的Magento版本是最新的,您就已经安装了所有最新的补丁程序,并且您的服务器符合关于设置的最佳实践(文件许可权,而不是运行其他软件/网站,防火墙等),这就是您现在所能做的。

我认为重要的是要提到尚无特定的攻击媒介:

那么攻击如何起作用?我们仍在调查攻击媒介。似乎攻击者正在利用Magento核心或某些广泛使用的模块/扩展中的漏洞。

编辑:

正如我在上面的评论中提到的,您还可以查看Ben Lessani对另一个相关问题的详细解答,该问题提供了一些背景信息:https : //magento.stackexchange.com/a/72697/231


2

不是(仅)Magento

我已经看到许多其他网站以这种方式被黑客入侵,不仅在Magento中将恶意代码插入到代码库中。并且有许多变体:脚本窃取POST数据,脚本添加XSS,试图窃取root密码的脚本,允许传入呼叫处理数据的脚本(用于比特币挖矿,从该服务器发送垃圾邮件)等等。

在某些情况下,原因是客户端计算机上的FTP凭据(通过病毒/恶意软件)被盗,而在其他情况下,它是在应用程序中使用了漏洞利用程序。

还有许多其他应用程序可以通过漏洞利用来提供对服务器的访问,例如WordPress。

只有一种情况应该归咎于Magento,并且可以预料Magento会采取行动,那就是:如果被利用的应用程序是最新版本的Magento并进行了全面修补。

因此,只有一个极少数的机会,这个突出的案例首先是由Magento的错误引起的。这就是为什么您什么都没听到Magento的原因。

这里的新事物是,插入的代码非常明确地针对Magento,并使用了Magento的代码体系结构和原理。

该怎么办

现在对您的问题“该怎么办?”给出一些答案。

  • 切勿在同一服务器实例(
    如WordPress + Magento)上运行两个不同的应用程序。有时您会看到WordPress在www.magentoshop.com/blog/中运行,或者Magento在www.wordpresswebsite.com/shop/中运行。不要那样做 WordPress中的漏洞可以使攻击者访问您的Magento数据。

  • 使用版本控制系统
    我正在使用GIT,并且还在服务器上拥有此版本(只读访问权限)以部署网站。这也使我可以通过运行快速了解系统的变化git status

  • 永远不要使用FTP,只能使用SFTP,永远不要存储密码
    我上面提到过FTP密码是从客户端计算机上窃取的。另外,使用FTP是不安全的,因为它将通过Internet发送未加密的数据。因此,请使用SFTP,不要将密码存储在FTP应用程序中,只是不要偷懒,每次连接服务器时都输入密码。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.