Lo Shop online è stato violato, riparato ma è ancora sotto attacco - cosa fare?

Naviga le tue risposte
5

un negozio online basato su xt-commerce di un mio amico è stato violato recentemente. L'attaccante ha spedito che il negozio è vulnerabile, ha mostrato i dati estratti (in pratica ha scaricato i database e incrinato gli hash MD5, che non erano salati) e ha chiesto alcuni bitcoin.

Il mio amico ha ingaggiato una società di sicurezza, che ha eseguito una (piuttosto brutta) scansione webapp usando accunetix web scanner. L'output era quasi illeggibile perché conteneva quasi il 98% di falsi positivi (distribuiti su 40-50 pagine in formato PDF). Quindi mi ha chiesto di eseguire una seconda scansione e ho trovato 4-5 iniezioni SQL e alcuni XSS, una versione obsoleta di Apache, oltre a PHP e MySQL. Le iniezioni SQL sono state corrette e ho verificato le patch, poiché non potevo più eseguire SQLi.

Ora, gli utenti del negozio sono stati informati della violazione e sono stati invitati a cambiare la loro password. Tuttavia, alcune ore fa, l'hacker è riuscito a piazzare un falso ordine in xt-commerce.

Mi chiedo che cosa potrebbero fare ora i proprietari del negozio?

  1. Non ha abilitato la registrazione MySQL in quanto ciò riempirebbe la memoria rapidamente.
  2. Ho chiesto loro di ispezionare i log di Apache per vedere cosa è successo durante il momento in cui è stato effettuato il falso ordine.
  3. Ho chiesto loro di cercare PHP / Web-Shell, che potrebbero essere stati posizionati sul server web.
  4. Mi chiedo se sia possibile in qualche modo analizzare i contenuti del database per rilevare anomalie?
  5. Naturalmente c'è la possibilità di avere ancora buchi di sicurezza nell'app Web.
  6. Se l'autore dell'attacco ha scelto di sfruttare il server web, php-daemon o il server mysql, avremmo difficoltà a risalire a questo, giusto? Dovremmo quindi attivare la registrazione del filesystem?

Potresti suggerirmi quali ulteriori passi da fare o forse dirmi semplicemente il tuo istinto riguardo a questa situazione?

    
posta Richard Laurant 04.09.2014 - 11:38
fonte

5 risposte

3

In generale, devi seguire i seguenti passaggi:

Proteggi il tuo sito e recupera l'accesso

  • Blocca il sito e previene tutti gli accessi esterni. Cerca di evitare la "contaminazione" nel processo modificando i file potenzialmente compromessi

  • Se è necessario mantenere una presenza online, impostare qualcosa come una pagina di destinazione separata ospitata su un server / account isolato. Tuttavia, non puoi lasciare il tuo sito attivo e funzionante quando sai che è vulnerabile, soprattutto se si tratta di un sito di e-commerce. Ti apriresti ad una sostanziale responsabilità legale per potenziali perdite se lo facessi.

  • Cambia tutte le tue password e lavora con i fornitori di servizi se hai perso l'accesso a uno dei tuoi account.

Identificazione delle backdoor

  • Scarica una copia completa del tuo sito.

  • Utilizzare uno strumento Diff come WinMerge per confrontare i file scaricati con il backup più recente e una nuova copia del software del carrello (nella versione che stai utilizzando).

  • Ispeziona tutte le varianze che trovi, registra le eventuali variazioni prima di ripristinarle. Mantenere un record ti consente di cercare istanze ricorrenti in futuro.

  • Cerca e cerca eventuali dati dannosi nel tuo database. Non c'è un modo semplice per farlo, in particolare cercare nuovi utenti e cercare cose come "exec" (la funzione PHP per l'esecuzione di codice da una stringa) in cose come i modelli che potrebbero essere memorizzati nel database. Usa ciò che trovi come indizi su cosa cercare. Anche il confronto con i backup può essere utile, specialmente per le tabelle che non cambiano molto.

  • Se riesci a eliminare il tuo codice base e iniziare con un nuovo set di file (ad esempio da un pacchetto appena scaricato dal tuo software cart), allora considera strongmente questo.

Risolvi vulnerabilità

  • Assicurati di eseguire l'ultima versione assoluta di qualsiasi software di carrello che stai utilizzando. Se il tuo carrello non viene più gestito, prendi in considerazione la possibilità di cambiare.
  • Controlla eventuali altre fonti di codice come plug-in di terze parti. Rimuovi quelli che non sono assolutamente necessari, non sono mantenuti attivamente o non hanno una solida reputazione.
  • Se hai qualche indizio da cose come i log, investigale.

Ripristino del sito e prevenzione

  • Una volta che sei sicuro che le porte posteriori sono state rimosse e le vulnerabilità risolte, puoi ripristinare l'accesso.

The did not enable MySQL logging as this would fill memory quickly. I asked them to inspect the Apache logs to see what happened during the point of time were the fake order was placed.

Considerare strongmente la registrazione esterna. Opzioni come S3 e Glacier di AWS sono incredibilmente economiche e possono garantire che i tuoi log non siano compromessi in un attacco futuro.

  • Considera l'implementazione di un firewall per applicazioni Web, come CloudFlare. Non fai affidamento su questo per risolvere le tue attuali vulnerabilità, è solo una prima linea di difesa.

  • Migliora l'isolamento laddove possibile, ad esempio se il tuo sito è costituito da un carrello e un blog assicurati che siano entrambi ospitati come utenti / account separati o server idealmente separati.

  • Verifica che il tuo software sia aggiornato, hai password sicure, ecc.

  • Considera l'implementazione di controlli di integrità dei file di routine. Alcuni software hanno questo integrato in cui fondamentalmente puoi confrontare automaticamente i checksum dei file con i checksum dei file puliti in modo da poterti notificare se un file viene modificato in modo imprevisto.

  • Verifica le autorizzazioni dei file, assicurati che il processo Web non possa scrivere su nessuno dei tuoi file di codice (e puoi scrivere al minimo assoluto di altri file in generale).

risposta data 04.09.2014 - 14:47
fonte
5

Vorrei fare ancora un paio di cose per ripulire il sito:

  1. Cambia ogni password

    Sì, prima di fare qualsiasi cosa, cambia tutte le password di amministrazione, ftp, ssh, MySQL e così via.

  2. Sposta tutti i file del sito Web in una cartella inaccessibile

    Porta il sito offline e metti un segno In Manutenzione per darti il tempo di sistemare tutto. Questo disabiliterà qualsiasi file modificato dall'attaccante. Anche le conchiglie saranno inutilizzabili.

  3. Reinstalla xt-commerce da zero

    Patching dell'attuale xt-commerce non è sufficiente. Ci sono molti posti dove mettere una backdoor, ed è facile ignorarne uno anche con un esame molto attento. Se sono installati temi personalizzati o plug-in, reinstallalo da zero. Prova a non copiare nessuna delle risorse dal vecchio sito, trattale come infetto . Non cercare di correggere alcuna infezione, crea da zero.

  4. Modifica il nuovo xt-commerce per utilizzare una migliore memorizzazione delle password

    Se la memorizzazione della password predefinita da xt-commerce non implementa la salatura, qualcosa è molto sbagliato. Salting è richiesto per ogni gestione delle password dal lancio di Intel Pentium MMX. O anche prima.

  5. Prendi un dump completo del database e ispezionalo per i segni di anomalie

    Qualsiasi segno di eval , sostituisci , decodifica , exec o sistema sarà sospettoso Dai un'occhiata da vicino a quelle voci.

  6. Verifica se è stato creato uno strano account

    Con il dump del database in mano, verifica se qualche account ha più privilegi di quanto dovrebbe. Forse l'aggressore ha creato un account amministratore mascherato.

  7. Ispeziona i file di registro

    Questo ti mostrerà come l'attaccante ha avuto accesso al sito. Poiché alcune shell PHP possono utilizzare POST, intestazioni e cookie personalizzati per inviare e ricevere dati, la configurazione predefinita del log di Apache non può mostrare tutto. Aggiungi la direttiva %{Set-Cookie}o alla configurazione per registrare i cookie e registra i dati POST anche.

risposta data 04.09.2014 - 14:31
fonte
1

Il mio istinto è che non sai quanto tempo fa sei stato violato.

Rattoppando il sito e combattendo per vulnerabilità note, in pratica speri che l'hacker non sappia cosa sta facendo.

La prima cosa che probabilmente ha fatto l'hacker è stata quella di eliminare i log e installare più backdoor. Anche se si patch correttamente il sistema, anche se si scrub di ogni vulnerabilità, potrebbero ancora esserci backdoor in uscita, account amministrativi extra, ecc. Questi possono essere kernel-level e non rilevabili senza dover arrestare e scansionare i media montando il volume esternamente su una macchina di successo.

Se riesci a scoprire quando si è verificata la violazione, puoi ripristinare i backup più vecchi, correggere i sistemi e eventualmente ripristinare dati più recenti.

Se non riesci a capire quando si è verificata la violazione, porta giù la compagnia. Ricostruisci un secondo sito web, inserisci i vecchi dati e combina attentamente gli elenchi di utenti. Se ti viene nuovamente violato, puoi sempre ripetere questo processo, attivare più registrazioni, scavare più a fondo nei tuoi dati, ecc., È veloce ricostruire una seconda o terza volta.

È molto importante ricordare: Non portare codice o binari dal vecchio sito. Stai ricostruendo da zero.

Se ciò non è possibile dal punto di vista finanziario, e non hai conosciuto copie sicure del tuo codice, allora hai continuato a dare sfortuna per un po '. Potrebbe essere necessario pagare l'estorsione o continuare a martellare sul sito e sperare di battere in astuzia l'hacker. Assicurati di ottenere un backup completo. E spero che non abbiano il codice impostato per causare danni allo spegnimento / avvio.

    
risposta data 04.09.2014 - 14:47
fonte
0

"However, some hours ago, the hacker managed to place a fake order in xt-commerce."

Effettuare un ordine fasullo non equivale a hackerare. Mi sembra un normale utilizzo del sito. Se stanno effettuando l'accesso come amministratore, quale account stanno utilizzando? Cambia la password. Se ciò è dovuto all'accesso all'account amministratore, non sottovalutare il fatto che l'attacco potrebbe essere avvenuto a causa di un software keylogger. Quindi, a parte l'infrastruttura del sito, è possibile cercare qualsiasi software dannoso che l'utente possa aver installato. Pertanto potrebbe essere necessario modificare immediatamente tali password e fermarsi utilizzando quel particolare computer fino a quando non è stato formattato o il problema è stato risolto o il software dannoso è stato rimosso.

    
risposta data 28.07.2015 - 19:49
fonte
-1

Puoi eseguire la scansione del sito per scoprire se l'hacker ha inserito alcuni javascript utilizzando l'account amministratore. Se lo fa, può continuare a rubare i cookie dagli utenti del sito!

Dovresti anche cambiare tutte le password, inclusa la password MySQL e la password FTP.

    
risposta data 04.09.2014 - 14:06
fonte

Leggi altre domande sui tag

La whitelist IP per l'accesso alla pagina Web è abbastanza sicura? Criptare e autenticare il traffico localhost?