Wykrywaj oznaki ataku
Jeśli Magento nie otrzyma łatki bezpieczeństwa natychmiast po poważnym naruszeniu bezpieczeństwa, istnieje duże prawdopodobieństwo, że witryna została już przejęta. Okresowo wykonuj przegląd bezpieczeństwa, aby sprawdzić oznaki ataku.
Przegląd bezpieczeństwa
- Uruchom po stronie serwera monitor złośliwego oprogramowania w zabezpieczeniach Magento, aby dowiedzieć się o problemach z bezpieczeństwem plików, bazy danych i kont administratora.
- Sprawdzaj okresowo, czy nie ma nieautoryzowanych administratorów.
- Sprawdź logi administratora pod kątem podejrzanej aktywności.
- Użyj zautomatyzowanych narzędzi do przeglądania dzienników, takich jak Apache Scalp.
- Współpracuj z dostawcą usług hostingowych, aby przejrzeć logi serwera pod kątem podejrzanych działań i wdrożyć system wykrywania włamań w Twojej sieci.
- Użyj narzędzia do sprawdzania integralności plików i danych, takiego jak np. TripWire, aby otrzymywać powiadomienia o każdej potencjalnej instalacji złośliwego oprogramowania.
- Monitoruj wszystkie loginy do systemu (FTP, SSH) pod kątem nieoczekiwanej aktywności, przesyłania plików lub wykonywanych poleceń.
Działaj zgodnie ze swoim planem
W przypadku naruszenia bezpieczeństwa należy współpracować z wewnętrznym zespołem ds. Bezpieczeństwa IT, jeśli jest dostępny, lub z dostawcą hostingu, aby określić zakres ataku. Biorąc pod uwagę rodzaj włamania i wielkość sklepu. Następnie dostosuj poniższe zalecenia do swoich potrzeb.
1. Zablokuj dostęp do witryny, aby osoba atakująca nie mogła usunąć dowodów ani ukraść więcej informacji.
2. Utwórz kopię zapasową bieżącej witryny, która będzie zawierać dowody zainstalowanego złośliwego oprogramowania lub zainfekowanych plików.
3. Spróbuj określić zakres ataku. Czy uzyskano dostęp do informacji o karcie kredytowej? Jakie informacje zostały skradzione? Ile czasu minęło od włamania? Czy informacje były zaszyfrowane? Zazwyczaj można spodziewać się następujących typów ataków:
- Zniszczenie witryny – dostęp do witryny jest zagrożony, ale często informacje dotyczące płatności nie. Konta użytkowników mogą zostać przejęte.
- Botnetowanie – Twoja witryna staje się częścią botnetu, który wysyła spam. Chociaż dane prawdopodobnie nie są zagrożone, serwer jest blokowany przez filtry antyspamowe, co zapobiega dostarczaniu wiadomości e-mail wysyłanych do klientów.
- Bezpośredni atak na serwer – dane są zagrożone, zainstalowana jest backdoor i złośliwe oprogramowanie, a witryna przestaje działać. Informacje dotyczące płatności – pod warunkiem, że nie są przechowywane na serwerze – są prawdopodobnie bezpieczne.
- Ciche przechwytywanie karty – w tym najbardziej katastrofalnym ataku intruzi instalują ukryte złośliwe oprogramowanie lub oprogramowanie do przechwytywania kart lub ewentualnie modyfikują proces płatności, aby zbierać i wysyłać dane kart kredytowych. Takie ataki mogą pozostać niezauważone przez dłuższy czas i skutkować poważnymi zagrożeniami dla kont klientów i informacji finansowych.
4. Spróbuj znaleźć wektor ataku, aby określić, w jaki sposób witryna została przejęta i kiedy. Przejrzyj pliki dziennika serwera i zmiany w plikach. Zwróć uwagę, że czasami na ten sam system występuje wiele różnych ataków.
5. Jeśli to możliwe, wyczyść i zainstaluj ponownie wszystko od nowa. W przypadku hostingu wirtualnego utwórz po prostu nową instancję systemu. Złośliwe oprogramowanie może być ukryte w nieoczekiwanej lokalizacji, tylko czekając na przywrócenie. Usuń wszystkie niepotrzebne pliki. Następnie ponownie zainstaluj wszystkie wymagane pliki ze znanego, czystego źródła, takiego jak pliki z własnego systemu kontroli wersji lub oryginalne pliki dystrybucyjne z magento.com.
6. Zastosuj wszystkie najnowsze poprawki zabezpieczeń.
7. Zresetuj wszystkie poświadczenia, w tym bazę danych, dostęp do plików, integracje płatności i wysyłek, usługi internetowe i login administratora.
8. W przypadku zainfekowania procesu przetwarzania informacji o płatnościach może być konieczne poinformowanie podmiotu przetwarzającego płatności.
9. Poinformuj klientów o ataku i rodzaju informacji, których dotyczy. Jeśli informacje o płatności zostały naruszone, powinni szukać nieautoryzowanych transakcji. Jeśli dane osobowe, w tym adresy e-mail, zostały naruszone, mogą być celem ataków typu phishing lub spamu.
Więcej informacji w języku angielskim uzyskasz na stronie https://magento.com/security