OPの説明に基づいて、侵害されたMagentoに関してシステムの現在の状態を判断することは困難です。残念ながら、以下で説明するように、既にセキュリティが侵害されている場合、修正プログラムをインストールしても問題は解決しません。彼らは将来の攻撃を阻止するだけであり、すでに侵害されているシステムを修正するために何もしません。
既知の攻撃シグニチャのリストを提供する調査を文書化しました。これにより、システムの証拠を確認し、それに応じて対応することができます。まったく同じ2つの妥協点を見たことがないため、特定のシステムがわずかに異なる可能性があります。まだ文書化されていないシステム上の何かを発見した場合は、それを私たちと共有してください。攻撃署名ガイドを更新するか、分岐して更新要求を送信するだけです。
これらのアイテムの修復を自動化するツールキットに取り組んでいますが、配布の準備が整うまで1〜2週間かかる場合があります。それまでの間、これらの妥協を通して得た知識をコミュニティの全員と共有し、全員が期待どおりに安全になるよう努力しています。
一貫した結果を得るために何度も作業を重ねてきた3段階のセキュリティ分析と対応プロセスを以下に示します。あなたがしなければならない重要な仮定は、Magentoが提供するデフォルトのソースコードまたはあなたが作成したコピーに対してシステム内のファイルを比較するまで、何が侵害されたか、または侵害されていないかを知ることができないということです(Git / Mercurial / SVN)リポジトリ。データベースとログインが危険にさらされていると想定し、それらをすべて変更する必要があります。
重要な注意: Magentoからパッチをインストールしても、すでに感染している場合は役に立ちません。せいぜい、既知のタイプの追加の侵害を阻止しますが、既に侵害されている場合は、以下で強調するように、パッチをインストールし、システムを修復する必要があります。
フェーズ1:侵害の範囲を特定します。以下にリストするすべてのアイテムは、特にSUPEE-5344およびSUPEE-5994脆弱性アナウンスメントに関連する侵害されたMagentoサイトで発見したシグネチャです。最新のパッチ(およびMagentoからインストールする必要のある他のパッチ)をインストールしたら、各パッチを調べて、システムに署名の証拠があるかどうかを確認する必要があります。それらの多くは、パッチを適用した後、攻撃者がシステムに再入力するのに十分であるため、熱心に対処し、何もスキップしないか、修正に失敗しないようにする必要があります。
また、Magentoのオンラインスキャナーを使用することもできますが、概してこれらは、パッチをインストールし、将来の侵害を防止した場合にのみ通知します。既に侵害されている場合、これらは他のバックドアや、最初に攻撃されたときにインストールされた可能性のある攻撃をスキャンしません。少なくとも、テストしたもののどれも、発見した署名を見つけられませんでした。徹底的な防御が道のりです。つまり、結果に自信を持ちたい場合は、複数のツールと視点からの複数のスキャンとレビューを意味します。
フェーズ2:必要なものを削除し、可能なものを置き換えます。リポジトリのオリジナルファイルまたはMagentoソースファイルを使用します。最新バージョンを実行していない場合でも、Magentoダウンロードページを使用して、サイトから古いバージョンのソースを取得できます。
フェーズ3:資格情報のリセット:展開にリモートで関連するログイン名とパスワードの使用をすべてインベントリし、以下を含むすべてをリセットします。
- マーチャントアカウントのログインとAPIキー
- Magento管理者ログインとパスワード
- メールアカウントの資格情報
- LDAP / AD /プライマリ認証システム
- パスワード
- すべて
- 上記の手順は感染したファイルを削除するのに役立ちますが、パスワードが盗聴されたのか、キーが記録されたのか、他の攻撃の被害者なのかわかりません。侵害されたシステムの修復を試みます。
ガイドは長すぎてこの応答に投稿できませんが、署名リストはMagento Security Toolkit GitHubリポジトリからすぐにダウンロードできます。