Magento waarschuwt voor beveiligingslek in e-commerceplatform

Zo te zien heeft Magento letterlijk mijn Magento patch test site gekopieerd, inclusief html comments. Niet zo netjes.

Leuke stat: ik heb ook geplot hoeveel procent per land gepatched is (live data, er wordt continue gescand op basis van een builtwith.com lijst van alle Magento's ter wereld).

Geen expert maar hierbij wat info:

Als je vreemde admin account er tussen ziet staan dan ben je inderdaad in bepaalde mate al gehacked.
In hoeverre moet verder onderzoek uitwijzen.

Belangrijk is om de patches door te voeren en je cache te legen.
Ook cache zoals APC of andere caching programma's op server niveau dienen geleegd te worden.
Check daarna hier: https://shoplift.byte.nl of je nog steeds vulnerable bent.
Niet meer vulnerable? Good job, naar het volgende punt en anders kijken of de patches wel correct geinstalleerd kunnen worden en of je de cache wel goed leegt.

Als de patch geinstalleerd is moet je natuurlijk direct ook de admin users verwijderen welke niet door jezelf aangemaakt zijn.
Verander ook direct de wachtwoorden voor de correcte accounts.
Omdat ze toegang kunnen hebben gehad tot je database kunnen ze ook inloggen met je bestaande admin accounts - de wachtwoorden zijn niet echt zwaar encrypted opgeslagen namelijk.

Nu is de patch toegepast, incorrecte admin account zijn verwijderd en van de bestaande admin accounts zijn de wachtwoorden gewijzigd.

Wat nu een goed plan is om te doen is je default frontend admin path wijzigen.
Standaard: <jedomeinnaam>/admin
Wijzigen gaat via het bestand aanpassen: app/etc/local.xml
De volgende regel moet aangepast worden:
<frontName><![CDATA[admin]]></frontName>
naar:
<frontName><![CDATA[hierjenieuweadminpath]]></frontName>

Leeg je cache bv door: rm -rf var/cache/*
Of via magento en log uit en weer in via je nieuwe admin pad.
Dit is een kleine aanpassing, wat het geautomatiseerd aanvallen op de admin lastiger maakt.
Aanvallers moeten nu dmv bruteforce erachter komen wat je admin pad is.

Nu moet je achterkomen wat er gedaan is na de hack.
En hier wordt het lastiger en per case verschillend hierover kan ik weinig tips geven.

Tip 1 (van Byte):
zcat logs/*|awk '$6 == "\"POST" && $9 == 200 {print $7}'|sort|uniq -c|sort -nr|grep -e ".*php$"
Waar logs moet verwijzen naar je logs folder van je webserver.
Deze zoekt naar verdachte post php requests.
Lees verder hier: Verdachte bestanden opsporen - Byte

Tip 2:
Zoek naar onlangs gewijzigde bestanden:
find . -mtime -7 -fprint aangepast7dagen.txt
Dit zoekt naar alle aangepaste bestanden in de afgelopen 7 dagen en slaat de resultaten op naar: aangepast7dagen.txt
let op: je kan een timestamp wijzigen dus niet altijd effectief.
let op 2: je zult ook veel resultaten krijgen van je cache

Tip 3:
Check of je niet nieuwe modules hebt zoals filemanagers via Downloader

Vanaf hier moet je verder op onderzoek uit en zal geen enkele case meer hetzelfde zijn.
Je kan security audits laten doen door pro's als je er zelf niet uitkomt.
Let in ieder geval goed op dat je geen backdoors actief laat.

In de toekomst minimaliseren dat dit nog een keer gebeurd:
1) Update je systemen, modules regelmatig en critical patches direct.
2) Zorg voor de juiste file en directory permissions, klik hier
3) Scherm je admin en downloader af, klik hier
4) Ga op zoek naar nog meer magento of linux best practices online.