La boutique Magento n'est pas sécurisée

Récemment, j'ai repris la gestion d'une boutique Magento. Hier, nous avons reçu un e-mail d'une société informatique indiquant que notre magasin n'était pas sécurisé. Même si je doute de la légitimité de l'e-mail, il a montré la dernière commande en magasin, le nombre de clients enregistrés et le dernier produit ajouté.

Depuis que je suis récemment devenu administrateur, après la réalisation, je ne sais pas exactement quelles mesures de sécurité ont été prises. Les choses suivantes, je le sais avec certitude:

• Il y a un chemin personnalisé pour le panneau d'administration
• Les données sont envoyées via https
• Le mot de passe administrateur est une chaîne de lettres aléatoires inférieures ou majuscules

Si ce courrier est légitime, comment puis-je résoudre ce problème?

Avez-vous installé tous les correctifs? https://www.magentocommerce.com/download#cat_1735_files

Après avoir appliqué les correctifs, modifiez tous les mots de passe administrateur.

Et quels que soient les modules tiers installés, ils peuvent faire ce qu'ils veulent, par exemple faire de gros trous de sécurité dans magento.

Vérifiez la sécurité de votre boutique sur https://shoplift.byte.nl/

Vérifiez votre compte backend, supprimez-le dont ils n'ont pas besoin

Installez tous les correctifs. Sur http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/ vous pouvez voir quel patch pour quelle version vous aurez besoin.

Passez en revue les modules tiers si vous le pouvez.

Sur la base de la description de l'OP, il est difficile de déterminer l'état actuel du système par rapport à un Magento compromis. Malheureusement, comme je l'explique ci-dessous, l'installation des correctifs ne résoudra pas votre problème si vous êtes déjà compromis. Ils arrêtent seulement les futures attaques, ils ne font rien pour réparer un système qui est déjà compromis.

Nous avons documenté nos recherches pour fournir une liste des signatures d'attaques connues afin que vous puissiez vérifier la présence de preuves sur vos systèmes et répondre en conséquence. Gardez à l'esprit que nous n'avons jamais vu deux compromis qui sont exactement les mêmes, il y a donc une chance que votre système particulier soit légèrement différent - si vous découvrez quelque chose sur votre système que nous n'avons pas déjà documenté, veuillez le partager avec nous afin nous pouvons mettre à jour le guide de signature d'attaque ou simplement bifurquer, mettre à jour et soumettre une demande d'extraction.

Nous travaillons sur une boîte à outils pour automatiser la correction de ces éléments, mais cela peut prendre une semaine ou deux avant d'être prêt pour la distribution. En attendant, nous sommes partageons les connaissances que nous avons acquises en travaillant sur ces compromis avec tous les membres de la communauté afin de nous assurer que tout le monde est aussi en sécurité que prévu.

J'inclus ci-dessous un processus d'analyse et de réponse de sécurité en 3 étapes sur lequel nous avons travaillé encore et encore pour obtenir des résultats cohérents. L'hypothèse clé que vous devrez faire est que vous ne pouvez pas savoir ce qui a été ou n'a pas été compromis jusqu'à ce que vous différenciez les fichiers de votre système par rapport au code source par défaut fourni par Magento ou à une copie que vous avez faite dans votre (Git / Mercurial / SVN) référentiel. VOUS DEVEZ ASSUMER que votre base de données et vos connexions ont été compromises et allez les changer tous.

NOTE CRITIQUE: L' installation des correctifs à partir de Magento NE VOUS AIDERA PAS si vous avez déjà été compromis. Au mieux, cela arrêtera les compromis ADDITIONNELS des types connus, mais si vous êtes déjà compromis, vous devrez DEUX installer les correctifs et corriger votre système comme nous le soulignons ci-dessous.

Phase 1: Identifiez la portée de votre compromis. Chacun des éléments que je liste ci-dessous sont des signatures que nous avons découvertes sur des sites Magento compromis spécifiquement liés aux annonces de vulnérabilité SUPEE-5344 et SUPEE-5994. Après avoir installé les correctifs les plus récents ( et tous les autres que vous devrez peut-être installer à partir de Magento ), vous devez parcourir chacun d'eux et vérifier si vous trouvez des preuves de la signature sur votre système. Beaucoup d'entre eux suffisent à eux seuls pour permettre à un attaquant de réintégrer votre système après l'avoir corrigé, vous devrez donc faire preuve de diligence et vous assurer de ne rien sauter ou de ne pas y remédier.

Vous pouvez également utiliser le scanner en ligne de Magento , mais dans l'ensemble, ceux-ci ne vous diront que si vous avez installé les correctifs et empêché de futurs compromis. Si vous avez déjà été compromis, ceux-ci ne rechercheront pas d'autres portes dérobées ou attaques qui pourraient avoir été installées lors de votre première attaque. au moins aucune de celles que nous avons testées n'a trouvé les signatures que nous avons découvertes. La défense en profondeur est la voie à suivre, ce qui signifie plusieurs analyses et révisions à partir de plusieurs outils et perspectives si vous voulez avoir confiance dans les résultats.

Phase 2: supprimez ce que vous devez et remplacez ce que vous pouvez: utilisez les fichiers d'origine de votre référentiel ou les fichiers source de Magento. Si vous n'utilisez pas l'une des dernières versions, vous pouvez toujours utiliser la page de téléchargement de Magento pour récupérer les anciennes sources de version de leur site.

Phase 3: réinitialisation des informations d'identification: inventoriez chaque utilisation d'un nom de connexion et d'un mot de passe liés à distance à votre déploiement et réinitialisez-les tous, y compris

• Identifiants de compte marchand et clés API
• Identifiants et mots de passe administrateur Magento
• Informations d'identification du compte de messagerie
• LDAP / AD / Système d'authentification principal
• Mots de passe
• TOUT
• Vous pouvez être raisonnablement sûr que les étapes précédentes vous aideront à purger les fichiers infectés, mais vous ne pouvez pas savoir si les mots de passe ont été reniflés ou enregistrés, ou la victime d'une autre attaque, donc la réinitialisation de toutes les informations d'identification associées est l'option la plus sûre si vous allez tenter de corriger un système compromis.

Le guide est trop long pour être publié dans cette réponse, mais la liste des signatures peut être téléchargée immédiatement sur notre référentiel GitHub Magento Security Toolkit .

Les choses que vous avez répertoriées sont de bonnes premières étapes, mais ce ne sont en aucun cas les seules choses que vous devez faire pour sécuriser votre site.

Exactement ce qui n'est pas sûr de votre site, personne ne pourra répondre, du moins sans regarder votre site. Cela dépend vraiment de votre configuration, par exemple si vous utilisez apache ou nginx, sont-ils configurés correctement? Avez-vous installé tous les derniers correctifs de sécurité de magento ?

S'ils étaient en mesure de vous parler de la dernière commande et du nombre de clients enregistrés, je le prendrais au sérieux ...

Même si je doute de la légitimité de l'e-mail, il a montré la dernière commande dans le magasin, le nombre de clients enregistrés et le dernier produit ajouté.

Cela semble légitime ...

Je ne pense pas que cela ait été mentionné, mais certains de ces e-mails de pêche peuvent provenir d'entreprises correctes, et cela peut valoir la peine de voir au moins ce qu'ils factureraient pour résoudre le problème. (On dirait qu'ils auraient une bonne idée par où commencer) Si l'entreprise semble louche alors oui, évitez.

Il y a quelques bons points ci-dessus; si vous allez le faire vous-même, vous devez soit différencier les fichiers par rapport aux points de départ connus, ou, peut-être plus facile (en fonction de votre configuration) est d'installer un nouveau Magento sur un autre serveur, et à partir de là (installer de nouvelles versions de toutes les extensions dont vous disposez, importez les produits (peut être rapide en utilisant un outil comme Magmi), et enfin exportez vos commandes / clients à partir du site actuel, puis importez dans la nouvelle configuration).