几天前消息传出后,关于最新漏洞,我还没有听到太多-也没有官方声明。Sucuri说有可能接收信用卡信息,甚至所有$_POST数据,包括管理员密码等。
我还没有遇到过客户端被黑客入侵的情况,但是不想等到这种情况发生时才采取行动。有人看过补丁吗?
Answers:
您期望什么样的补丁或官方声明?博客文章只说,一旦攻击者访问了代码,Web应用程序便可能受到威胁。这适用于每个Web应用程序。术语的Magento是完全可以互换存在。当前,他们不知道受影响的主机是如何受到威胁的。在给定示例中,敞开的大门可能是一切,从服务器问题到“第8层”。
只要他们保持这种模糊性,并且不提出有价值的信息,这几乎都是营销活动,例如传播公司名称,大张旗鼓,将自己定位为安全专家等。 《 Magento》显然是个好故事。
我们仍然可以从这篇文章中学到什么:
只要您的Magento版本是最新的,您就已经安装了所有最新的补丁程序,并且您的服务器符合关于设置的最佳实践(文件许可权,而不是运行其他软件/网站,防火墙等),这就是您现在所能做的。
我认为重要的是要提到尚无特定的攻击媒介:
那么攻击如何起作用?我们仍在调查攻击媒介。似乎攻击者正在利用Magento核心或某些广泛使用的模块/扩展中的漏洞。
编辑:
正如我在上面的评论中提到的,您还可以查看Ben Lessani对另一个相关问题的详细解答,该问题提供了一些背景信息:https : //magento.stackexchange.com/a/72697/231
我已经看到许多其他网站以这种方式被黑客入侵,不仅在Magento中将恶意代码插入到代码库中。并且有许多变体:脚本窃取POST数据,脚本添加XSS,试图窃取root密码的脚本,允许传入呼叫处理数据的脚本(用于比特币挖矿,从该服务器发送垃圾邮件)等等。
在某些情况下,原因是客户端计算机上的FTP凭据(通过病毒/恶意软件)被盗,而在其他情况下,它是在应用程序中使用了漏洞利用程序。
还有许多其他应用程序可以通过漏洞利用来提供对服务器的访问,例如WordPress。
只有一种情况应该归咎于Magento,并且可以预料Magento会采取行动,那就是:如果被利用的应用程序是最新版本的Magento并进行了全面修补。
因此,只有一个极少数的机会,这个突出的案例首先是由Magento的错误引起的。这就是为什么您什么都没听到Magento的原因。
这里的新事物是,插入的代码非常明确地针对Magento,并使用了Magento的代码体系结构和原理。
现在对您的问题“该怎么办?”给出一些答案。
切勿在同一服务器实例(
如WordPress + Magento)上运行两个不同的应用程序。有时您会看到WordPress在www.magentoshop.com/blog/中运行,或者Magento在www.wordpresswebsite.com/shop/中运行。不要那样做 WordPress中的漏洞可以使攻击者访问您的Magento数据。
使用版本控制系统
我正在使用GIT,并且还在服务器上拥有此版本(只读访问权限)以部署网站。这也使我可以通过运行快速了解系统的变化git status。
永远不要使用FTP,只能使用SFTP,永远不要存储密码
我上面提到过FTP密码是从客户端计算机上窃取的。另外,使用FTP是不安全的,因为它将通过Internet发送未加密的数据。因此,请使用SFTP,不要将密码存储在FTP应用程序中,只是不要偷懒,每次连接服务器时都输入密码。