回答:
どのようなパッチまたは公式声明を期待していますか?ブログの投稿では、攻撃者がコードにアクセスできるようになると、Webアプリケーションが危険にさらされる可能性があると述べています。それはすべてのWebアプリケーションに当てはまります。Magentoという用語は完全に同義です。現在、影響を受けるホストがどのように侵害されたのか、彼らには手掛かりがありません。与えられた例のオープンドアは、サーバーの問題から「レイヤー8」に至るまで、あらゆるものである可能性があります。
彼らがあいまいであり、価値のある情報を思い付かない限り、それはすべて、会社名を広めること、波を作ること、セキュリティの専門家としての地位を確立することなどのマーケティングとほぼ同じです。 Magento」は明らかに良い話になります。
この投稿から私たちがまだ学べること:
更新:現在、ベンマークスの公式声明があります。
Magentoのバージョンが最新である限り、すべての最新のパッチがインストールされており、サーバーはセットアップに関するベストプラクティスを満たしています(ファイルの権限、実行中の別のソフトウェア/ウェブサイトではない、ファイアウォールなど)これが今のところできることです。
私はまだ特定の攻撃ベクトルがないことを言及することが重要だと思います:
では、攻撃はどのように機能しますか?私たちはまだ攻撃ベクトルを調査しています。しかし、攻撃者はMagentoコアまたは一部の広く使用されているモジュール/拡張機能の脆弱性を悪用しているようです。
編集:
上記の私のコメントで述べたように、いくつかの背景情報を提供する別の関連する質問に対するBen Lessaniの詳細な回答も確認できます。https://magento.stackexchange.com/a/72697/231
他の多くのWebサイトがこの方法でハッキングされ、Magentoだけでなくコードベースに悪意のあるコードが挿入されるのを見てきました。そして、多くのバリアントがあります:POSTデータを盗むスクリプト、XSSを追加するスクリプト、ルートパスワードを盗もうとするスクリプト、着信呼び出しがデータを処理することを許可するスクリプト(ビットコインマイニング用、そのサーバーからスパムメールを送信するため)など。
アプリケーションでエクスプロイトを使用したクライアントコンピューターからFTP資格情報を(ウイルス/マルウェアによって)盗んだことが原因の場合もあります。
WordPressなど、エクスプロイトを介してサーバーへのアクセスを提供できるアプリケーションは他にもたくさんあります。
Magentoが非難し、Magentoからのアクションが予想されるケースは1つだけです。つまり、悪用されたアプリケーションが最新バージョンのMagentoであり、完全にパッチが適用されている場合です。
したがって、このハイライトされた1つのケースが、そもそもMagentoの障害によって引き起こされた可能性はわずかです。そのため、Magentoから何も聞こえません。
ここでの新しい点は、挿入されたコードがMagentoを非常に明確にターゲットとし、Magentoのコードアーキテクチャと原則を使用していることです。
次に、「それに対して何をすべきか」という質問にいくつか回答を与えます。
WordPress + Magentoのように、同じサーバーインスタンスで2つの異なるアプリケーションを実行しないでください。www.magentoshop.com/blog/またはMagentoがwww.wordpresswebsite.com/shop/で実行されているWordPressが表示されることがあります。それをしないでください。WordPressのエクスプロイトにより、攻撃者はMagentoデータにアクセスできます。
私がGITを使用しているバージョン管理システムを使用し、これをサーバー上に置いて(読み取り専用アクセス)、Webサイトを展開します。これにより、を実行することで、システムの変更をすばやく確認することもできますgit status。
FTPは使用せず、SFTPのみを使用して、パスワード
を保存しないでください。FTPのパスワードがクライアントコンピューターから盗まれたと前述したとおりです。また、FTPを使用すると、暗号化されていないデータがインターネット経由で送信されるため、安全ではありません。そのため、SFTPを使用し、FTPアプリケーションにパスワードを保存しないでください。サーバーに接続するたびに、怠惰に入力する必要はありません。